„Der Mai ist geko-hommen, die Paragraphen schlagen aus!“
DISCLAIMER: Dieser Blogpost beschäftigt sich mit der DSGVO und den Auswirkungen auf Blogs. Der Artikel ist „Work in Progress“ und wird hier und da sicherlich noch erweitert werden. Er stellt keine Rechtsberatung dar, ich bin ja schliesslich kein Anwalt oder Datenschützer. Der Artikel soll lediglich meine Bemühungen dokumentieren, diesem Thema Herr zu werden.
Habt ihr was gemerkt in den letzten Tagen hier im Blog? Nein? Dann ist es ja gut, weil dann der Serverumzug und all die Upgrades spurlos an Euch vorbeigegangen sind. Anlass hierfür ist die seit 2016 beschlossene EU-Datenschutz-Grundverordnung (EU-DSGVO), die ab dem 25. Mai 2018 anwendbar ist. Neu geregelt wird vor allem die Verarbeitung personenbezogener Daten. Zwar sieht der Artikel 2 Abs. 2 DSGVO keine Anwendung vor bei „natürliche Personen, die ausschließlich persönliche oder familiäre Tätigkeiten ausüben“. Ob ein Blog wie dieses darunter fällt, dafür möchte ich meine Hand nicht ins Feuer legen. Wahrscheinlich ist es auch anwendbar, wenn man diesen Kommentar auf datenschmutz.net liest:
Rein private Blogs dürften wenig zu befürchten haben, sobald jedoch auch nur ein einziger Banner, Affiliate oder Testbericht auftaucht, spricht der Gesetzgeber von Gewinnabsicht bzw. einer gewinnorientierten Seite – unabhängig, ob diese von einem Unternehmen oder einer Privatperson betrieben wird, greifen in diesem Fall die neuen Bestimmungen.
Eine treffende Beschreibung des derzeitigen Zustandes habe ich auf unbesorgt.de gefunden:
Erklärte Absicht war, die Bürger der EU vor dem Missbrauch ihrer Daten zu schützen, herausgekommen ist ein Schwebezustand der rechtlichen Unsicherheit, in dem so gut wie niemand mit Sicherheit sagen kann, was noch erlaubt und was verboten ist.
Aber es gibt kein drumrum, nur ein hindurch. Also bin ich nach bestem Wissen und Gewissen diverse Artikel und Checklisten durchgegangen und bin gerade dabei, mein Blog DSGVO-ready zu machen.
Hosting
Bisher war diese Website bei WordPress.com gehostet. Zum schnellen Einrichten war das sehr einfach und sorgenfrei. Dafür ist der Webspace begrenzt und Zusatzfeatures sind kostenpflichtig. So ist zum Beispiel das Installieren von Plugins von Drittanbietern erst ab dem Business-Tarif (25€ monatlich) möglich. Wahrscheinlich wird WordPress die DSGVO-Regulierungen im Laufe des Monat Mai auch implementieren, aber das war mir zu unsicher und ich hätte gerne – wie bei meinen früheren Blogs – mehr Gestaltungsfreiheit. So habe ich also das komplette Blog auf eine selbstgehostete Variante umgezogen.
Cookies
Ohne Cookies funktioniert das Internet nicht. Zumindest nicht wirklich komfortabel. Jede Website hinterlässt in irgendeiner Form diese kleinen Kekse auf dem Computer des Users. Für die, die es nicht auf dem Schirm haben, muss darauf hingewiesen werden (und zwar nicht erst wegen der DSGVO). gelöst habe ich das mittels des komfortablen Plugins Cookie Notice von dFactory.
Impressum und Datenschutzerklärung
Das Impressum und die Datenschutzerklärung müssen von jeder Seite aus mit einem Mausklick erreichbar sein. Man sollte das Kleingedruckte also tunlichst nicht im Untermenü verstecken und auch darauf achten, dass der Menüeintrag oder der Link zum Impressum nicht von einem Pop-Up verdeckt werden kann. Für das Impressum habe ich den Generator von eRecht24 verwendet, für die Datenschutzerklärung den Datenschutz-Generator.de von RA Dr. Thomas Schwenke.
Kommentarfunktion
Da die Veröffentlichung eines Kommentars einen aktiven Akt darstellt mit dem Ziel, die betreffenden Informationen frei zugänglich ins Netz zu stellen, könnte wohl davon ausgegangen werden, dass keine zusätzliches Opt-In Checkbox erforderlich ist. Ein Hinweis zur Datenspeicherung (idealerweise mit Link auf die Datenschutz-Policy) muss aber auch an dieser Stelle angebracht werden.
Ich habe mal Probehalber das WP GDPR Plugin von Appsaloon installiert, darüber kann auch der interessierte Nutzer seine bisherigen Kommentare einsehen und eine Löschung beantragen (siehe auch Verfahrensverzeichnis).
Verfahrensverzeichnis
Auch als Blogger brauchst du ein Verzeichnis von Verarbeitungstätigkeiten (auch Verfahrensverzeichnis genannt), in welchem alle Vorgänge dokumentiert sind im Zuge derer personenbezogene Daten bei dir verarbeitet werden. Dazu kann zum Beispiel zählen:
- Kommentarfunktion
- Newsletter
- Google Analytics
- Affiliate-Programme
- Webhosting
- E-Mail-Kommunikation
- Veröffentlichung von personenbezogenen Bilder auf deinem Blog
Was dieses Verzeichnis genau enthalten muss sowie ein tolles Musterverzeichnis, findest du auf dem Blog von Regina Stoiber. Muss ich noch machen.
Social Sharing
Die Einbindung von Social Sharing Buttons sind entweder in vielen Themes nativ vorhanden oder sind alternativ per Widget einzubinden. Die originalen Teilen-Buttons senden automatisch Informationen über die eigenen Besucher an die sozialen Netzwerke. Es ist dabei nicht erforderlich, dass diese dafür aktiv auf einen der Buttons klicken, sondern dies passiert bereits beim Aufrufen der Seite im Hintergrund. Die Benutzer haben keine Wahl, ob sie Informationen an Facebook und Co. senden möchten oder nicht. Das deutsche Computermagazin c’t hat daher „Shariff“ entwickelt, mit dem sich datenschutzkonforme Teilen-Buttons einbinden lassen, die die Anforderungen der Datenschutzgrundverordnung (DSGVO – Richtlinie (EU) 2016/679) erfüllen. Das Plugin Shariff Wrapper kommt hier zum Einsatz und setzt auf der vom c’t-Magazin entwickelten Grundidee auf.
Auswirkungen auf die Erstellung von Bildern und Videos
Wenn ihr Euch den folgendenden Artikel durchlest, habt ihr eine ungefähre Vorstellung davon, warum es gegen diese Regelungen bereits eine Offene Petition gibt.
https://www.ipcl-rieck.com/allgemein/wissen-zur-dsgvo-7-tipps-fuer-fotografen.html
Nach diesen Regelungen ist es nahezu unmöglich, ohne Rechtsbruch im öffentlichen Raum Aufnahmen zu machen. Der Datenschutz greift ja unabhängig von der Verwertungsabsicht. Wenn ich nun auf der nächsten Passhöhe einen Schnappschuss von mir und meinem Mopped mache und im Hintergrund ist eine andere Person zu sehen, von dem ich keine nachweisbare Einwilligung zur Aufnahme habe, so verletze ich seine Rechte. Unabhängig davon, ob dieses Bild dann auch seinen Weg hier ins Blog findet oder für Ewigkeiten auf meiner Backup-Festplatte schlummert.
Das zuständige Ministerium hat hierzu Stellung genommen und den Kontext zum Kunsturhebergesetz erläutert. Durch § 22 KunstUrhG soll dabei sichergestellt werden, dass jeder darüber entscheiden darf, welche Bilder von seiner Person im Umlauf sind. Genau schreibt § 22 Satz 1 KunstUrhG Folgendes vor:
Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden.
Veröffentlichung ist das eine, aber was ist mit der Aufnahme selber? Muss ich mir noch anlesen.
Datenschutz ist Dein Job
Abschliessend möchte ich noch auf diesen sehr lesenswerten Artikel vom Griesgram hinweisen: „Datenschutz ist Dein Job“. Meiner Meinung nach trifft er genau den wichtigsten Punkt: jeder User muss sich selber bewusst sein, wie er mit seinen Daten umgeht und was dahinter stecht, wenn er beispielsweise mal schnell irgendeiner Facebook App die Berechtigung gibt, seine Daten auszulesen, nur damit er in irgendeinem Persönlichkeitstest herausfinden kann, welche Haarfarbe der Frosch seiner Oma hatte. Wenn du nichts für einen Dienst zahlst, bist du das Produkt oder „There’s nothing like a free lunch!“
Quellen
- DSGVO – Leifaden für Blogger
- DSGVO Checkliste für Blogger: Wie setze ich die Datenschutz-Grundverordnung für mein Weblog um?
- Die DSGVO für Blog-Betreiber – Dem Grauen begegnen
- DSGVO – Bevormundung und Verunsicherung
- DSGVO für Blogger – Checkliste und Linksammlung
Nachtrag
Die sehr geschätzte Nuf hat sich ebenfalls dem Thema gewidmet, bitte ebenfalls lesen!
X_FISH
Vielen Dank für den Beitrag, ich werde auf ihn hinweisen wenn mal wieder jemand seinen Blog dicht machen will weil »die böse DSGVO plötzlich und somit völlig überraschend zu viel Arbeit macht«. 😉
Ergänzend (auch schon mal von mir woanders angemerkt):
Man hat den Nutzern jahrelang beigebracht alles (und zwar wirklich alles zu verbreiten), sich per Social Media Logins (dazu gehören für mich mit Abstrichen auch WP- und andere Blog-Logins) einzuloggen und alles zu vernetzen.
Nun soll quasi hinterher die Privatsphäre wieder (für sie) aufgeräumt werden? Nein, das ist nicht der Gedanke hinter der DSGVO. Daher haben die Blogger da auch nicht viel Arbeit mit.
Es soll »nur« offengelegt werden was sie alles an Spuren hinterlassen. Brotkrumen sind das schon lange keine mehr. Die Eigenverantwortlichkeit steht noch immer im Vordergrund – auch bei den Websitebetreibern.
HaZet
Hallo Alex, Respekt für den geräuschlosen Umzug und den Exkurs. Sieht gut aus.
Was mich ja noch mehr nervt als die DSGVO (die im Grundsatz ja richtig und überfällig ist), sind die direkten oder indirekten Vorwürfe, mich nicht rechtzeitig gekümmert zu haben oder schlicht zu faul zu sein, den Blog weiter zu betreiben.
Aber was soll’s. Das schöne am eigenen Blog ist bzw. war, dass ich damit tun und lassen kann was ich will. Zum Beispiel aufhören.
Für Dich Alex, ist das aber keine Option. Und ab jetzt ja auch keine Notwendigkeit.
X_FISH
Andersherum: Es sind die BetreiberInnen von definitiv »gewinnorientierten Blogs«, welche am lautesten Jammern – so jedenfalls meine Wahrnehmung.
Wer Affiliate-Werbung schaltet und/oder Werbebanner platziert hat bekam schon frühzeitig (vor über einem Jahr) Hinweise auf die DSGVO und teilweise sogar Warnungen was er besser bleiben lassen sollte (personenbezogene Werbung ohne Opt-In).
Mehrere Blogs die ich regelmäßig besucht habe sind verschwunden. Schade um den Inhalt. Hätte der Betreiber/die Betreiberin einfach nur die Werbung von der Seite genommen wäre das mit den notwendigen Angaben schon deutlich einfacher geworden. Stattdessen folgte der Kahlschlag mit der Begründung »Buhuhuuuu – böse DSVGO«.
Alexander
@HaZet: ich werde trotzdem nicht tatenlos dastehen und zusehen, wie Du aufhörst mit bloggen. Da reden wir nochmal drüber, mein Lieber!
@X_FISH: auch wenn 98% der Inhalte in meinem Blog werbefrei sind, sind die letzten 2% eben ausschlaggebend für den Gesetzgeber. Das reicht dann schon für die „Gewinnerzielungsabsicht“. Auch wenn das nicht mal die Hostingkosten deckt. *seufz*
X_FISH
Ein Fuzzi-Werbelink reicht ja schon. Aber manchmal ist es ja gut kein Millionär zu werden. Wir erinnern uns an das (neue) Urteil zur Linkhaftung:
https://www.e-recht24.de/news/haftunginhalte/10746-linkhaftung-landgericht-hamburg-entschaerft-eigenes-urteil.html
Mal abwarten was nach dem 25.05.2018 so alles kommt – oder auch nicht. Wer jetzt vor der DSVGO zittert hätte eigentlich schon seit November 2016 zittern müssen. Aber: ignorance is bliss. 😉
Bla
Der Hinweis, dass der Link zum Datenschutz (und Impressum) nicht von einem Popup o.ä. (z.B. dem Cookie-Hinweis) verdeckt sein darf, finde ich wichtig. Man sollte das auch mit (kleinen) mobilen Geräten probieren oder simulieren. Da können diese Popups recht groß werden.