Blog erstellen – Schritt 5 – DSGVO und ePrivacy sowie andere Gesetze

Dieser Beitrag informiert über die Anforderungen und Pflichten aus DSGVO und ePrivacy sowie einigen anderen Gesetzen. Warum ist das wichtig?

Als Betreiber einer Website bist du Anbieter von „Telemedien“ mit „journalistisch-redaktionellen“ Beiträgen. Somit gelten für dich einige Gesetze, Verordnungen und Richtlinien, unabhängig davon, ob du das Blog gewerblich oder privat betreibt. Und auf deren Einhaltung solltest du sehr sorgfältig achten. Die folgenden Gesetze kommen zur Anwendung:

  • Das TMG: rechtliche Rahmenbedingungen für Telemedien
  • Der RstV: der Staatsvertrag für Rundfunk und Telemedien (der ehemalige Rundfunkstaatsvertrag, in 2007 um den Bereich Telemedien erweitert)
  • Das BDSG: der Umgang mit personenbezogenen Daten
  • Das UrhG: Urheberrecht und verwandte Schutzrechte
  • Das KUG: Urheberrecht an Werken der bildenden Künste und der Photographie
  • Die ePrivacy-Richtlinie (2002/58/EG): Mindestvorgaben für Datenschutz und Telekommunikation
  • Die Cookie-Richtlinie (2009/136/EG): Ergänzung zur ePrivacy-R (2002/58/EG) um Vorgaben bzgl. der Verwendung von Cookies
  • Die DSGVO: Datenschutz-Richtlinie der EU vom 25.05.2018; ersetzt weite Teile des TMG und des BDSG
  • Die ePrivacy-VO: geplante Verschärfung zum Einsatz von Cookies und Online-Werbung, soll 2019 in Kraft treten

Im Wesentlichen beziehen sich all diese gesetzlichen Vorgaben auf

  • den Schutz personenbezogener Daten (der Website-Besucher)
  • die Haftung für die Website-Inhalte
  • die erkennbare Trennung von redaktionellem Inhalt und Werbung (wenn du dein Blog gewerblich nutzt)
  • den Schutz von Urheberrechten.

DSGVO und ePrivacy

In diesem Kontext sind besonders DSGVO und ePrivacy-VO zu erwähnen. Denn sie haben weitreichende Auswirkungen auf die meisten Web-Angebote und somit auch auf dein zukünftiges Blog.

Die DSGVO

Sie trat am 25.05.2018 in Kraft und erzeugte eine erste große Verschärfung der Rechtslage für fast alle Internet-Angebote. Ausschließlich rein private Websites sind von den Verpflichtungen weitgehend ausgenommen. Doch die Grenze zur gewerblichen Nutzung ist schnell überschritten. Schon eine Gewinnerzielungsabsicht reicht hier aus, um unter die DSGVO zu fallen.

Jeglicher Umgang mit personenbezogenen Daten (wozu kraft dieser Verordnung auch IP-Adressen zählen) fällt unter die Vorgaben der DSGVO und erfordert eine rechts-konforme Ausgestaltung der Prozesse.

Solltest du also fest einplanen, dein Blog (wann auch immer) gewerblich zu nutzen, ist es ratsam, alle Angebote und Elemente auf deinem Blog und in der Peripherie DSGVO-konform einzurichten.

Im Wesentlichen betrifft das alle Funktionen, die mit der Speicherung und Übertragung personenbezogener Daten zu tun haben. Auf deinem Blog wären das also die Verschlüsselung, die Kommentarfunktion, ein Newsletterangebot, ein Forum, die Social Media Share-Buttons, die Verarbeitung und Speicherung von Daten bei Drittanbietern (externe Server, Cloud-Speicher, CDN, der AMP-Service von Google, usw.).

Wenn du zu den für dich relevanten Funktionen im Netz nach Handlungsanweisungen suchst, achte auf die Aktualität der Beiträge. Viele DSGVO-konforme Lösungen sind erst nach dem Inkrafttreten der DSGVO veröffentlicht worden. Und mit Empfehlungen aus den Jahren vor 2018 solltest du besonders vorsichtig umgehen, sobald personenbezogene Daten im Spiel sind. Viele dieser Anleitungen sind nach neuer Rechtslage brandgefährlich.

Die ePrivacy-Verordnung (EPVO)

Die ePrivacy-Verordnung wird voraussichtlich bis Ende 2019 in Kraft treten und löst in verschärfter Form die bisher gültige alte ePrivacy-Richtlinie (2002) und die ergänzende Cookie-Richtlinie von 2009 ab. Dann ist unter anderem Tracking per Cookie nur noch erlaubt, wenn der User seine ausdrückliche Zustimmung erteilt hat und wenn diese Zustimmung nachweislich dokumentiert wurde. Das Opt-In-Verfahren wird damit zum Standard-Pflicht-Programm einer Website, sobald Cookies zum Einsatz kommen.

Auch, wenn diese Verordnung erst in der Zukunft in Kraft tritt, solltest du nicht in der verbleibenden Zeit noch Tracking-Elemente auf deinem Blog einsetzen, mit deren Beseitigung oder Anpassung du später zusätzliche Arbeit haben wirst. Stattdessen nutzt du besser jetzt schon EPVO-konforme Tools, wenn du auf Cookies nicht verzichten kannst.

Konsequenzen bei Missachtung

Hält man sich als Website-Betreiber nicht an DSGVO und ePrivacy sowie die anderen Gesetze, dann erhöht sich das Risiko, per Abmahnung zur Kasse gebeten zu werden. Es gibt Anwalts-Kanzleien, die sich auf das Internet spezialisiert haben und mit geeigneten Methoden das Netz nach fehlerhaften Internetseiten abscannen.

Also solltest du auf jeden Fall deinen gesamten Web-Auftritt samt der Pheripherie (Hosting, Server, Cloud-Dienste, Datenverarbeitung durch Dritte, usw.) Gesetzes-konform betreiben. Und dies bleibt eine ständige Aufgabe, denn die Entwicklungs-Geschwindigkeit bei Internet und elektronisch vernetzter Welt ist rasant und bringt immer wieder neue oder geänderte Rahmenbedingungen hervor, auf die du als Website-Betreiber zeitnah reagieren musst.

Impressum und Datenschutzerklärung

Aus all diesen Gesetzen und Richtlinien resultieren bestimmte Handlungsvorgaben, unter anderem die Notwendigkeit von Impressum und Datenschutzerklärung. Diese beiden Seiten sind die allerwichtigsten auf deinem Blog. Wenn du sie nicht vorweisen kannst oder auch nur an der falschen Stelle in deinem Blog platziert hast, drohen Abmahnungen und empfindliche Strafen. Deshalb solltest du diese Seiten sehr ernst nehmen und als allererstes erstellen, noch bevor du mit ersten Beiträgen beginnst.

Für das Impressum und auch für eine DSGVO-konforme Datenschutzerklärung findest du im Internet Generatoren, die unter bestimmten Bedingungen (Nennung der Quelle z.B.) kostenlos verwendet werden können. Auch WordPress liefert schon eine DSGVO-konforme Vorlage für die Datrenschutzerklärung im Dashboard an (Einstellungen > Datenschutz). Diese musst du allerdings bei Bedarf noch um weitere Module ergänzen, je nachdem, welche Elemente du auf deinem Blog einsetzt (Social Media Buttons, Cookies, usw.). Bei den Generatoren leitet man dich durch einen Katalog von Fragen, aus deren Antworten dann eine genau auf deine Bedürfnisse zugeschnittene Datenschutzerklärung erstellt wird.

Plazieren musst die die beiden Seiten dann an einer Stelle in deinem Blog, wo sie auf jeder angezeigten Einzelseite zur Verfügung stehen und mit maximal einem Mausklick erreichbar sind. Dafür eignet sich beispielsweise ein Fußzeilenmenü als Ergänzung zu deinem Menü für die Blog-Inhalte.

Teste die Sichtbarkeit dieser Links dann aber auf allen möglichen Displaygrößen: PC-Monitor, Tablet und Smartphone. Schau nach, ob nicht irgend ein anderes Element deiner Seite (z.B. die Social Media Share-Buttons) den Zugang zu diesen Seiten verdeckt.

Und du solltest diese beiden Seiten in den Metadaten auf Noindex setzen. So stellst du sicher, dass Suchmaschinen diese Seiten nicht indexieren und das sie nicht in den Suchergebnissen landen. Es reicht ja, wenn sie auf deiner Website zugänglich sind.

Verwendest du das Plugin Yoast SEO (was ich nur empfehlen kann), kannst du diese Eingabe im Yoast SEO -Fenster am Fuß der im Texteditor geladenen Seite unter dem Reiter „Erweitert“ einstellen: „Erlaube Suchmaschinen, diese Seite in den Suchergebnissen anzuzeigen“: nein.

Wenn du in deinem Blog Social Media Share-Buttons anbietest, musst du deren Verwendung auch in der Datenschutzerklärung erwähnen. Das geschieht automatisch, wenn du einen Datenschutzerklärungs-Generator nutzt. Dort wird anhand deiner Antworten auf die gestellten Fragen der passende Text-Passus hinzugefügt.

Du musst auch in deinem Impressum angeben, dass dieses Impressum ebenso für deine Social Media Auftritte gilt. Dementsprechend musst du dann in deinen Social Media Accounts einen Link auf das Impressum auf deinem Blog anbieten.

Prüfe auch immer wieder von Zeit zu Zeit, ob alle  Links zu Impressum und Datenschutzerklärung noch funktionieren.

Weitere Maßnahmen für DSGVO-Konformität

Neben dem Impressum und der Datenschutzerklärung sind noch viele weitere Einstellungen in deinem Blog vorzunehmen, um DSGVO-konform zu sein. Manches lässt sich über die Einstellungen im Dashboard vornehmen (z. B. Emoticons und Avatare), anderes benötigt vielleicht einen Eingriff in den Quellcode deiner Website.

Und zusätzlich müssen einige diese Funktionen dann in der Datenschutzerklärung erwähnt werden (z. B. die Nutzung von externen Diensten wie Twitter, Youtube, Hoster, Cloud, usw.)

Einige der gängigsten Funktionen und die betreffenden Maßnahmen zur DSGVO-Konformität sind im Folgenden aufgelistet:

Emoticons und die DSGVO

Unter Dashboard > Einstellungen > Schreiben > Formatierung: bei „Emoticons in Grafiken umwandeln“ den Haken entfernen (sonst werden automatisch Dienste von Dritten auf deine Website geladen, die nicht DSGVO-konform sind). Willst du sie trotzdem zulassen, nutze ein Plugin wie „Local Emoji“. Es speichert die Emoticons lokal auf deinem Webspase.

Avatare und die DSGVO

Im Dashoard > Einstellungen > Diskussion > Avataranzeige > hier den Haken entfernen (denn du weist nie, ob das Avatar eines Kommentierenden irgendwelche Urheberrechte verletzt. Und mit der Veröffentlichung des Avatars haftest auch du). Solltest du sie dennoch zulassen, dann sorge über ein Plugin wie Avatar Privacy für DSGVO-Konformität.

Kommentare und die DSGVO

Einstellungen > Diskussion > Standardeinstellungen für Beiträge > über den Befehl „Besuchern erlauben, neue Beiträge zu kommentieren“ kannst du die Kommentar-Funktion aktivieren oder auch deaktivieren. Wenn du Kommentare zulässt, sollte die Löschung der IP-Adressen der User per Plugin oder über einen Eintrag in der Datei functions.php in deinem Theme erfolgen, damit es DSGVO-konform ist.

Social Media Share-Buttons und die DSGVO

Jeder nutzt sie: die Sozialen Netzwerke Facebook, Twitter und wie sie alle heißen. Und der Publicity willen ist jeder Blogger bestrebt, sich so intensiv wie nur möglich zu vernetzen. Dazu zählt auch das Einbinden der eigenen Social-Media-Accounts über Share-Buttons auf der eigenen Website. Das solltest du nur noch über ein Plugin wie Shariff Wrapper bewerkstelligen, um DSGVO-konform zu sein. Dieses Plugin stellt sicher, dass nicht schon vor dem Betätigen eines solchen Share-Buttons die IP-Adresse eines Besuchers an die Plattformbetreiber weitergeleitet wird.

Zusätzlich musst du die Nutzung der Share-Buttons in der Datenschutzerklärung erwähnen und dort auf die Nutzung von Shariff Wrapper hinweisen.

Google Fonts und die DSGVO

Unterstützt das genutzte Theme die Einbindung der Google Fonts (die von Google kostenlos zur Verfügung gestellten Schriftarten), dann muss diese Funktionalität unterbunden werden, um DSGVO-konform zu sein.

Die Fachwelt diskutiert zwar noch über die exakte Auslegung der DSGVO zu diesem Punkt, aber sicherheitshalber sollte das Laden der Google Fonts unterbunden werden.

Entweder man deaktiviert die Nutzung dieser Fonts per Einstellung im Plugin Autoptimize (welches daneben auch zur Optimierung der Ladezeit wertvolle Dienste bereitstellt) oder man läd die betreffenden Fonts aus dem Netz herunter und speichert sie lokal auf seinem Webspace ab.

Wenn du dich für ersteres entscheidest, musst du dich möglicherweise mit einfacheren Schriftarten im Layout deines Blogs zufrieden geben.

Google Maps und die DSGVO

Mit dem Einbetten von Google Maps solltest du noch abwarten, bis Google diesen Dienst DSGVO-konform anbietet. Solange Google mit der Auslieferung der Seite auf dem betreffenden Rechner ein Cookie setzt, ist es jedenfalls nicht DSGVO-konform.

Youtube-Videos und die DSGVO

Hier gilt das gleiche wie bei Google Maps. Bei Seiten mit eingebetteten Videos setzt Youtube beim Aufbau der Seite auf dem betreffenden Rechner Cookies. Sauber und DSGVO-konform ist dagegen ein einfacher Textlink zu einem auf Youtube befindlichen Video.

Wenn es deine eigenen Videos sind, ist das urheberrechtlich kein Problem. Solltest du fremdes Filmmaterial über die Verlinkung ansteuern, musst du vorab prüfen, ob mit deinem Web-Auftritt in irgendeiner Form Urheberrechte Dritter verletzt werden.

WordPress und die DSGVO

Wenn du deine Website weiter ausbaust, werden möglicherweise weitere Funktionen über Plugins hinzugefügt. Sobald sich aus deren Anwendung ein Umgang mitr personenbezogenen Daten ergibt, sind all diese Vorgänge nach den Vorgaben der DSGVO einzurichten. In diesen Zusammenhang fallen auch die Rechte der User auf „Auskunft“ und „Löschung“ der gespeicherten Daten. Hierzu hat WordPress in seinem Dashboard mittlerweile auch 2 Funktionen bereitgestellt, die für genau diese Zwecke herhalten:

  • Im Dashboard > Werkzeuge > personenbezogene Daten löschen: diese Funktion kommt zum Einsatz, wenn ein registrierter Besucher die Löschung seiner Daten verlangt.
  • Im Dashboard > Werkzeuge > personenbezogene Daten exportieren: diese Funktion kommt zum Einsatz, wenn ein registrierter Besucher von seinem Recht auf Auskunft Gebrauch macht.

Kommentare sind geschlossen.