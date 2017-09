Seit 2016 schwebt die Datenschutz-Grundverordnung (DSGVO) wie ein Damoklesschwert über dem gesamten Online-Business-Bereich.

Die von der EU auf den Weg gebrachten Änderungen und Verschärfungen im Bereich Datenschutz haben in Zukunft weiterreichende Folgen für Website- und Blog-Betreiber.

In diesem Artikel schaue ich mir an, was dieses EU-Gesetz überhaupt für Änderungen mit sich bringt, was das für die eigenen Websites bedeutet und wann es in Kraft tritt.



Hinweis:

Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden*.

DSGVO – Was ist das?



Die Datenschutzgrundverordnung ist ein EU-Gesetz, welches am 25. Mai 2016 in Kraft getreten ist und damit auch für alle Mitgliedsländer gilt.

Nach einer zweijährigen Übergangsfrist wird diese dann ab dem 25.Mai 2018 endgültig für alle zur Pflicht.

Wir haben also noch gut 8 Monate Zeit, das eigene Business und die eigenen Websites entsprechend anzupassen.

Im Grunde werden in der neuen Datenschutzgrundverordnung alle Prozesse und Anforderungen an das Datenschutzmanagement von Unternehmen geregelt. Damit ersetzt die DSGVO das Bundesdatenschutzgesetz und andere Regelungen, die bisher für Website-Betreiber gegolten haben. Oder besser gesagt, die deutschen Gesetze werden den Vorgaben der DSGVO angepasst werden müssen.

Der Ansatz des Gesetzes ist gut, denn es soll die unterschiedlichen Regelungen in Europa vereinheitlichen und damit für mehr Sicherheit und Übersichtlichkeit beim Datenschutz sorgen. Auch für große Konzerne, wie Google oder Facebook, sind diese Regelungen dann für deren Tätigkeit in Europa bindend.

Das Problem ist allerdings, dass die DSGVO sehr allgemein ist und kein auf den praktischen Einsatz ausgerichtetes Gesetz ist. Hier findet man also keine konkreten Vorschriften, an denen sich Website-Betreiber orientieren können. Ehrlich gesagt ist das DSGVO für normale Selbstständige kaum zu gebrauchen, wenn man nicht gerade Lust hat, sich in ewig lange Gesetzestexte einzuarbeiten und die allgemeinen Vorschriften zu deuten.

Warum sollte man sich überhaupt um die DSGVO kümmern?

Schaut man sich im Web so um, dann kümmern sich nicht alle um datenschutzrechtliche Anforderungen und Vorschriften. Warum also nicht auch in Zukunft einfach das Thema ignorieren?

Die Anforderungen und Vorschriften rund um den Datenschutz bei Unternehmen ändern sich zwar im Großen und Ganzen nicht, aber sie werden deutlich schärfer und umfassender. In allen Bereichen unternehmerischer Tätigkeiten wird der Datenschutz nun zu einem Kernelement erklärt. Der Datenschutz ist nicht mehr nur ein wichtiges Addon, sondern soll zentraler Punkt unternehmerischen Handelns werden.

„Motiviert“ zur Umsetzung der Anforderungen werden die Unternehmen durch deutlich erhöhte Bußgelder, die richtig weh tun können. Auch die zivilrechtliche Haftung wurde verschärft und teure Abmahnungen sind natürlich diesbezüglich in Zukunft nicht auszuschließen.

Wichtige Änderungen für deutsche Websites und Blogs

Die DSGVO hat Auswirkungen auf Selbstständige, die im Online-Business aktiv sind. Zwar muss man nicht ins Schwitzen geraten, wenn man sich bisher schon an die Datenschutzvorschriften gehalten hat, aber einige Änderungen und Verschärfungen gibt es schon.

Natürlich dreht sich beim Datenschutz alles um die sogenannten personenbezogenen Daten, die man als Website-Betreiber mehr oder weniger stark von seinem Lesern sammelt. Hier ein paar typische Beispiele und wie man als Blog- und Websitebetreiber damit in Zukunft umgehen muss.

Cookies Mit am stärksten im Fokus stehen ab Mai 2018 sicher die Cookies. Diese kleinen Dateien auf den Rechnern der Nutzer sorgen seit vielen Jahren für Diskussionen zwischen Online-Branche und Datenschützern. Durch die DSGVO wurde die Definition personenbezogener Daten nochmal verschärft und es ist davon auszugehen, dass Cookies nun noch kritischer gesehen werden. Normalerweise ist dafür in Zukunft ein Opt-In notwendig, im Gegensatz zum aktuell praktizierten Opt-Out. Da dies in der Praxis nicht wirklich sinnvoll machbar ist, sehen hier viele schon das Ende des Cookies. Allerdings dürfen diese ohne vorausgehende Einwilligung der Nutzer auch in Zukunft eingesetzt werden, wenn bestimmte Anforderungen erfüllt werden. Klar ist dies, wenn sie zur Vertragserfüllung notwendig sind. In einem Online-Shops würde sonst der Warenkorb nicht funktionieren. Aber es gibt auch die Formulierung „berechtigte Interessen“. Damit ist gemeint, wenn der Website-Betreiber gute Gründe hat, die über den Interessen der Nutzer stehen, darf er Cookies auch in Zukunft einsetzen. Das gilt z.B. auch für Marketing und Einnahmen. Durch die recht schwammige Formulierung wird es hier wohl in Zukunft erst einige Urteile brauchen, aber es sieht so aus, als würden Cookies z.B. im Affiliate Marketing weiter eingesetzt werden können. Allerdings ist das nicht hunderprozentig klar und man wird abwarten müssen, bis es hier konkretere Aussagen gibt.

Blog-Kommentare Ein oft unterschätztes Problem sind Kommentare in Blogs. Hier werden in der Regel eMail- und IP-Adressen der Nutzer gespeichert, die einen Kommentar hinterlassen. Das sind natürlich personenbezogene Daten. Aber auch hier gibt es ein „berechtigtes Interesse“ des Betreibers, da ja z.B. bei Beleidigungen oder ähnlichem die Möglichkeit bestehen muss, die Person zu identifizieren, die den Kommentar hinterlassen hat. Natürlich könnte man Kommentare auch komplett anonym zulassen, aber dann trägt man selbst das komplette Risiko. Auch hierzu wird es sicher in Zukunft konkretere Aussagen geben.

Google Analytics Viele Website-Betreiber nutzen Tracking-Services wie Google Analytics. Auch hier muss man natürlich im Hinblick auf die DSGVO genauer hinschauen. Google Analytics hat allerdings schon in der Vergangenheit Vorkehrungen getroffen, Datenschutzanforderungen zu erfüllen. Wenn man dann noch dafür sorgt, dass die IPs anonymisiert übertragen werden und die User die Möglichkeit haben ein Opt-Out zu nutzen, sollte das auch in Zukunft kein Problem darstellen. Wer sich übrigens fragt, ob es nicht die bessere Lösung ist alles selbst zu tracken, sollte vorsichtig sein. Zwar gibt man dann die Daten der Nutzer nicht an andere Unternehmen raus, aber dann muss man selbst für deren Sicherheit sorgen, ggf. Opt-Outs umsetzen und dokumentieren und so weiter. Oft ist es gerade für Einzelkämpfer besser, dies einem spezialisierten Unternehmen zu überlassen.

Newsletter Das gilt z.B. auch für Newsletter. So haben Services wie CleverReach, den ich nutze, ausgereifte Systeme, um Opt-Ins der Nutzer und Abmeldungen automatisch und problemlos zu ermöglichen und zudem die Handlungen der Nutzer zu dokumentieren. Bisher gilt hier ja schon Opt-In und daran wird sich auch in Zukunft nichts ändern.

Social Media Schon aktuell wird dringend davon abgeraten, die offiziellen Plugins/Buttons der sozialen Netzwerke auf der eigenen Website zu nutzen. Diese übermitteln sogar schon beim Betreten der Website Daten an den jeweiligen Anbieter, egal ob man dort Mitglied ist oder nicht. Die DSGVO ist hier noch strenger, so dass sich an dieser Empfehlung auch nichts ändert.

Datenschutzerklärung und Impressum Jede Website und jeder Blog sollte eine Datenschutzerklärung enthalten. Diese ist aber das kleinste Problem. Es gibt bereits heute Online-Generatoren, mit deren Hilfe man eine passende Datenschutzerklärung für die eigene Website bekommen kann. Das wird in Zukunft sicher auch so sein. Man sollte nur daran denken, Anfang kommenden Jahres die eigene Datenschutzerklärung zu aktualisieren. Natürlich ist es dann auch notwendig das Impressum anzupassen.

SSL-Verschlüsselung Mal abgesehen davon, dass Google gern nur noch SSL-verschlüsselte Websites möchte und auch die Browser unverschlüsselte Websites schon (negativ) hervorheben, wird mit der DSGVO die Verschlüsselung wohl endgültig Pflicht. Der Datenschutz „by Design“ bzw „by Default“ legt einfach nahe, dass jegliche Datentransfers über das Netz nur noch verschlüsselt erfolgen sollten. Ich habe mit der Umstellung meiner Websites auf SSL begonnen und werde das in den kommenden Monaten fortsetzen.

Werbung Die neuen Datenschutzrichtlinien werden auch die Werbung im Netz beeinflussen. Ein normales Banner ohne Tracking ist zwar kein Problem, aber Methoden wie Frequency Capping oder Re-Marketing werden in der heutigen Form nicht mehr möglich sein. Auch hier steht aber immer noch die Hintertür „berechtigte Interessen“ des Website-Betreibers im Raum. So wird sich wohl erst durch Urteile klären, was noch erlaubt ist und unter welchen Umständen.

Verzeichnis aller Tätigkeiten der Datenverarbeitung Es wird gefordert, dass man die Verarbeitung personenbezogener Daten in einem Verzeichnis klar und transparent beschreibt. Also auch, was mit den Daten passiert.

Das sind sicher nicht alle Website-Aspekte, auf die die DSGVO in Zukunft Einfluss hat. Aber es sind sehr wichtige und man sollte sich damit auf jeden Fall beschäftigen.

Datenschutz-Grundverordnung und ePrivacy-Verordnung

Konkreter wird es mit der geplannten ePrivacy-Verordnung, die es bisher aber nur als Entwurf gibt. Darin wird es konkrete Regelungen geben, wie in der elektronischen Kommunikation mit Daten und Informationen umgegangen werden soll.

Dort werden dann genauere Anforderungen und Pflichten zu finden sein, wie man z.B. in Zukunft mit Tracking-Tools auf Websites, Cookies und anderen Dingen umgehen muss. Die ePrivacy-Verordnung wird das deutsche Telekommunikationsgesetz in der bisherigen Form ersetzen, bzw. auch hier wird dann eine Anpassung des deutschen Gesetzgebers notwendig sein.

Mehr dazu dann aber, wenn aus dem Entwurf etwas Handfestes geworden ist. Angeblich soll die ePrivacy-Verordnung gleichzeitig mit der DSGVO eingeführt werden. Das wäre sinnvoll und deshalb eigentlich untypisch für die Gesetzesgebung in der EU. ;-) Mal schauen, ob es da noch zu Verzögerungen kommt.

Lösung: Website ohne personenbezogene Daten?!

Wie geht man aber nun mit den neuen Anforderungen um. Gerade für Einzelunternehmer oder z.B. nebenberuflich Selbstständige im Netz würde sich der Aufwand durch Dokumentations-, Auskunfts- und Meldepflichten deutlich erhöhen. Zumal in einigen Bereichen noch gar nicht klar ist, was in Zukunft nun noch erlaubt ist und was nicht.

Natürlich ist das alles im Grunde machbar, aber eben mit zusätzlichem Aufwand verbunden. Deshalb kann es sinnvoll zu versuchen, so wenig wie möglich, oder gar keine personenbezogenen Daten mehr zu sammeln/nutzen.

Das ist natürlich eine Herausforderung und es bringt Einschränkungen mit sich, aber ich will das in Zukunft versuchen. Deshalb werde ich in Kürze ein Praxis-Projekt starten, welches komplett versucht auf personenbezogene Daten, Cookies etc. zu verzichten und dennoch Geld damit zu verdienen.

Abwarten oder loslegen?

Die DSGVO ist zu allgemein, um alle konkreten Schritt für die Anpassung von Websites oder Blogs vorzunehmen. Die kommende ePrivacy Verordnung wird da mehr konkrete Dinge bringen, auch wenn es sicher danach ebenfalls noch Klärungsbedarf durch Gerichte geben wird.

Dennoch sollte man schon aktiv werden und sich mit den neuen Grundlagen der Datenverarbeitung in der EU anfreunden. So z.B. mit dem Gebot der Daten-Minimierung. Je weniger personebezogene Daten man in Zukunft sammelt, umso weniger Aufwand hat man.

Die folgenden Fragen sollte man sich schon mal durch den Kopf gehen lassen:

Welche Daten sind wirklich wichtig und notwendig?

Wie und wo werden diese verarbeitet?

Welche Hinweispflichten muss ich erfüllen?

Wie sicher und transparent verwalte ich die Daten?

Welche Alternativen gibt es für problemtische Aspekte meiner bisherigen Website?

Weiterführende Links

Bei der DSGVO handelt es sich um ein komplexes Thema, welches ich an Nicht-Anwalt weder umfassend behandeln kann, noch sind sich da im Netz alle einig. Wie das bei Gesetzen so ist.

Deshalb hier ein paar weiterführende Lesetipps, wenn ihr euch in das Thema noch genauer einlesen wollt:

shopbetreiber-blog.de, socialmediarecht.de, adzine.de, eprivacy.eu, wko.at

Ich werde das Thema natürlich weiterhin intensiv verfolgen und sobald es interessante Neuigkeiten oder praktische Umsetzungsempfehlungen gibt, wieder darüber berichten.

Auch mein Praxis-Projekt über eine Website, die ohne jegliche personenbezogene Daten auskommt, werde ich in den kommenden Monaten hier vorstellen und genauer darauf eingehen.