So manchen Website- und Blog-Betreiber bereitet die europäische Datenschutz-Grundverordnung (DSGVO) noch immer schlaflose Nächte. Doch wer bisher seinen Blog oder seine Webseite datenschutzkonform betrieben hat, wird kaum Anpassungen vornehmen müssen.
Wer erst jetzt damit beginnt, sollte dennoch nicht in Panik verfallen, denn auch die Datenschutz-Aufsichtsbehörden müssen sich erst einmal orientieren.
Für viele sind auch heute die Datenschützer bisher schlicht unbekannt und Unbekanntes macht bekanntlich am meisten Angst.
Nicht jeder ist von der DSGVO überhaupt betroffen: Jeder, der zu persönlichen und familiären Zwecken personenbezogene Daten verarbeitet, fällt unter die sogenannte Haushaltsausnahme
(Artikel 2, Abs. 2) und ist nicht von den Vorgaben der DSGVO betroffen. Er muss also an seinen Mediengewohnheiten nichts ändern. Whatsapp und Facebook etwa können weiterhin risikolos genutzt werden, wenn es für den rein privaten Gebrauch ist. Ebenfalls nicht betroffen von der DSGVO ist jeder, der keine personenbezogenen Daten verarbeitet. Das ist etwa dann der Fall, wenn jemand auf einem eigenen Server seine Website hostet, auf der keine personenbezogenen Daten erhoben werden. Werden nur anonymisierte Daten verwendet, gelten die Datenschutzvorgaben ebenfalls nicht.
Wenn die Website bei einem Dienstleister gehostet wird, muss dieser dem Website-Betreiber die Möglichkeit geben, die Speicherung dieser Metadaten zu deaktivieren. Dies gilt es dann in der eigenen Datenschutzerklärung anzuführen.
Um einen E-Mail-Newsletter verschicken zu können, muss man mindestens die E-Mail-Adresse des Empfängers kennen. Damit verarbeitet man auf jeden Fall personenbezogene Daten und ein Versand ist nur dann rechtskonform, wenn der Empfänger dazu ausdrücklich seine Einwilligung erteilt hat.
Dafür sind mindestens zwei Schritte notwendig: Der Empfänger muss selbst entscheiden, ob er den Newsletter erhalten möchte. Man darf ihn also nicht einfach auf Verdacht auf den Verteiler setzen. Außerdem muss er die Onlineanmeldung bestätigen. Damit geht der Betreiber sicher das nicht jemand anders oder eine dritte Person dies bestellt hat.
Sobald personenbezogene Daten über die Website erhoben werden, indem z. B. Besucher per Formular einen Newsletter bestellen oder Nachrichten hinterlassen können, muss der Datenverkehr zwischen dem Besucher und der eigenen Website abgesichert werden.
Insbesondere für Blogs sind die Kommentare kritisch. Hier protokollieren die meisten Content-Management-Systeme automatisch die IP-Adressen der Kommentatoren. Aufbauend auf diesen IP-Adressen können dann Anti-Spam-Filter eingesetzt werden, die aber meist in den USA gehostet werden. Hier können Blog-Betreiber entweder händisch die IP-Protokollierung in ihrem System abstellen oder sie müssen von ihren Kommentatoren eine Einwilligung erbitten, die Daten speichern zu dürfen.
Gleichwohl dürfen die IP-Adressen nicht unbefristet, wie heute üblich, gespeichert werden. Ratsam ist es daher, die Erhebung der IP-Adressen zu blockieren und Anti-Spam-Filter zu verwenden, die etwa auf Basis von Wortlisten arbeiten. Außerdem müssen die Kommentatoren darüber aufgeklärt werden, dass sie pseudonym kommentieren dürfen.
Die zweischrittige Einwilligung wie beim Newsletter gilt auch für Social-Plug-ins. Einfach die von Facebook, Google und Twitter angebotenen Teilen-Buttons einzubauen, ist nicht ratsam. Insbesondere Facebook erfasst so nämlich, wer sich wie durch das Netz bewegt. Deshalb gibt es alternative Zwei-Klick-Lösungen: Hier wird der Button erst aktiv, wenn der Nutzer tatsächlich in Aktion tritt und den Beitrag auf seiner Social-Media-Seite teilt.
Kommentare
Kommentar veröffentlichen