Seit dem 25. Mai 2018 gelten die neuen Vorgaben der europäischen Datenschutzgrundverordnung (DSGVO). Gleichzeitig sind die adaptierten Regelungen des österreichischen Datenschutzgesetzes (DSG) – in seiner vermeintlich „deregulierten“ bzw. „entschärften“ Form – in Kraft getreten.
Diese Änderungen an den rechtlichen Rahmenbedingungen für den Umgang mit personenbezogenen Daten wurden öffentlich rezipiert wie kaum eine andere Rechtsänderung in den vergangenen Jahren. Dieses erhöhte Bewusstsein war bereits durch die umfassende, teils reißerische Medienberichterstattung („Millionenstrafen“) gegeben. Darüber hinaus, und ganz unabhängig vom individuellen Medienkonsum, dürfte in den vergangenen Wochen jedenfalls jeder Besitzer eines E-Mailpostfachs auf die DSGVO aufmerksam geworden sein. Dies durch eine Flut an einschlägigen Nachrichten, in denen etwa auf neue Nutzungsbedingungen diverser Dienste hingewiesen oder – auf mehr oder weniger originelle Weise und mit durchwachsenem Erfolg – um Zustimmung zur Datenverarbeitung ersucht wurde.
Doch was genau hat sich überhaupt geändert und was bedeuten diese Änderungen für Blogbetreiber?
Das (neue) Datenschutzrecht
Zunächst ist anzumerken, dass einerseits eine Reihe von für den Betrieb einer Website bzw. eines Blogs relevanter Vorschriften weitgehend unberührt geblieben ist; dies gilt beispielweise mit Blick auf das E-Commerce- bzw. das Telekommunikationsgesetz. Die DSGVO selbst ist, rechtlich betrachtet, ferner weniger bahnbrechend als man ob der Medienberichterstattung meinen könnte. Insbesondere haben sich die wesentlichen Eckpfeiler des schon bisher geltenden Datenschutzrechts kaum verändert.
Dennoch ist der Umsetzungsaufwand für die Normadressaten, die sogenannten „Verantwortlichen“ und die von diesen eingesetzten „Auftragsverarbeiter“, regelmäßig erheblich. Dies liegt teils daran, dass die Regelungen des Datenschutzrechts in der Vergangenheit nicht immer ausreichend Beachtung gefunden haben. Einen weiteren Grund stellen die neuen, weitgehenden Transparenzerfordernisse und Eigendokumentationspflichten dar. Das bisher durch die Datenschutzbehörde geführte Online-Datenverarbeitungsregister wird abgeschaltet und durch ein individuell zu führendes „Verarbeitungsverzeichnis“ ersetzt. In datenschutzrechtlich sensibleren Bereichen sind zudem jeweils „Datenschutzfolgeabschätzungen“ vorzunehmen und zu dokumentieren.
Auch Blogbetreiber sind regelmäßig – als „Verantwortliche“ – Normadressaten der DSGVO und müssen deren Vorgaben strikt einhalten; sehr enge Ausnahmen gelten allein für ausschließlich private und familiäre Tätigkeiten. Welchen Umsetzungsaufwand bedeutet dies in der Praxis?
Unbedingt sollten Blogger die an die Besucher der Website gerichtete Datenschutzerklärung aktualisieren. Diese sollte neben den schon bisher erforderlichen Mindestbestandteilen, etwa hinsichtlich des Einsatzes von Cookies bzw. von Third Party Tracking-Tools, vor allem die Anforderungen der DSGVO hinsichtlich Transparenz und Verständlichkeit widerspiegeln und etwa über die sog. „Betroffenenrechte“ (Auskunft, Löschung, usw.) aufklären. Hierfür finden sich zahlreiche Muster und/oder Generatoren unterschiedlichster Art und Güte im Internet.
Zudem ist darauf zu achten, dass mit jedem Dienst, der Daten im Auftrag des Blogbetreibers verarbeitet, sogenannte Auftragsverarbeitungsverträge geschlossen werden müssen (vgl. Art 28 DSGVO). Auch Verschlüsselungen der Website, beispielsweise durch Erwerb bzw. Erstellung eines SSL-Zertifikates, können ratsam sein.
Wie bereits angeklungen, sieht die DSGVO ferner vor, dass ein „Verzeichnis von Verarbeitungstätigkeiten“ zu führen ist. Hierin müssen Verantwortliche bzw. Auftragsverarbeiter unter anderem festhalten, welche Datenkategorien sie zu welchem Zweck verarbeiten und an wen diese weitergegeben werden. Dieses Verzeichnis stellt Dreh- und Angelpunkt der DSGVO-Compliance dar; sollte also die Datenschutzbehörde infolge einer Beschwerde über einen bestimmten Blog-Betreiber Einsicht in dieses Verzeichnis verlangen, sollte man ein solches vorweisen können. Zwar wird mit Blick auf eine Ausnahmebestimmung in der DSGVO teilweise vertreten, dass ein solches Verzeichnis erst ab einer Unternehmensgröße von 250 Mitarbeitern erstellt werden müsste. Eine solche Interpretation der Verordnung ist mit deren Wortlaut allerdings kaum vereinbar. Aus Gründen der Rechtssicherheit sollte also unbedingt Zeit in die Erstellung sowie in die laufende Aktualisierung eines solchen Verzeichnisses investiert werden.
Insbesondere: Einbindung von Social Media Plugins und anderer Dienste
Viele Websites und Blogs setzen diverse Plugins ein, die beispielsweise Zeit und Anzahl der Zugriffe auf bestimmte Beiträge mitverfolgen, Kommentar- oder Kontaktfunktionen, Schriftarten usw. zur Verfügung stellen oder etwa die Einbindung von sozialen Netzwerken wie Facebook, Twitter oder LinkedIn (sog. „Social Media Share Buttons“) ermöglichen bzw. vereinfachen. Aus datenschutzrechtlicher Sicht ist bei der Einbindung jeglicher derartiger Plugins bzw. Tools besondere Vorsicht geboten. Denn die Einbindung bedingt regelmäßig einen (Nutzer-)Datenaustausch mit den dahinterstehenden – häufig außerhalb der Europäischen Union ansässigen – Drittanbietern. Erhoben und Verarbeitet werden diese personenbezogenen Daten häufig mittels Cookies.
Generell ratsam ist es, bei jedem Plugin bzw. Tool zu überlegen und abzuwägen, ob dieses überhaupt benötigt wird, welcher Nutzen generiert wird und ob es nicht andere, datenschutzfreundlichere Lösungen gibt. Kommt beispielsweise der Einsatz von selbst gehosteten Analysediensten wie beispielsweise „Matomo“ in Betracht?
Insbesondere Social Media Share Buttons können sich dabei als wahre „Datenkraken“ herausstellen. Besonders problematisch ist, dass der durch den Betreiber des jeweiligen Netzwerkes in Form des Plugins zur Verfügung gestellte Quellcode dabei regelmäßig nicht erst dann Daten erhebt und weitergibt, wenn der Benutzer den Button anklickt, um etwa einen bestimmten Inhalt zu teilen. Vielmehr erfolgt dies bereits bei Aufruf der Website, in die dieser Button bzw. Code eingebunden ist. Für diesen unbemerkt stattfindenden Datenaustausch ist jedoch in der Regel eine vorherige Einwilligung des Nutzers erforderlich. Vor diesem Hintergrund verstößt die Plugin-Einbindung in der dargestellten Form gegen geltendes Datenschutzrecht. Dies ist den Betreibern der jeweiligen sozialen Netzwerke freilich bewusst. Dennoch haben diese bislang wenig Interesse daran gezeigt, den Quellcode ihrer Plugins anzupassen und eine Datenverarbeitung von einer vorherigen Zustimmung des Nutzers abhängig zu machen. Ob sich die hinter diesen Praktiken stehende Einstellung tatsächlich durch die neuen Bußgeld- bzw. Strafrahmen ändern wird, wird maßgeblich vom Ausgang der zahlreichen bereits gegen Facebook & Co anhängigen Verwaltungsstrafverfahren abhängen.
Ist damit die rechtskonforme Einbindung derartiger Plugins gänzlich unmöglich? Die Untätigkeit der Netzwerkbetreiber hat private Entwickler beflügelt, selbst an einer möglichst rechtskonformen Lösung des Problems zu basteln. Ein Beispiel ist das von heise online und dem deutschen Computermagazin c’t programmierte Tool „Shariff“, welches in adaptierter Form etwa für WordPress verfügbar ist. Vereinfacht gesagt ermöglicht dieses Open Source Tool eine Einbindung von Social Media Plugins ohne automatische Weitergabe abgefragter Daten an die eingebundenen sozialen Netzwerke.
Apropos Social Media: Folgenschwere EuGH-Entscheidung zu Facebook-Fanpages
Äußerst relevant und gleichsam brandaktuell ist ein im Zusammenhang mit Facebook Fanseiten ergangenes Urteil des Europäischen Gerichtshofes (EuGH), das nicht nur die rechtswissenschaftliche Datenschutzdebatte beflügeln wird sondern auch Betreibern derartiger Fanseiten Kopfschmerzen bereiten und einigen Anpassungsaufwand bedeuten dürfte. Diese, auf ein Vorlagenersuchen eines deutschen Gerichts zurückgehende Entscheidung vom 05.06.2018 (Rs C 210/16) erging zwar zur inzwischen durch die DSGVO abgelösten alten Rechtslage – der Datenschutzrechtlinie 95/46. Sie lässt sich im hier relevanten Kontext jedoch weitestgehend auf die aktuelle Rechtslage übertragen. Der der Entscheidung zugrundeliegende Sachverhalt betraf ein Unternehmen, welches eine Facebook-Fanpage unterhalten hatte, ohne die Besucher dieser Seite darüber zu informieren, dass und in welchem Umfang Nutzerdaten gespeichert und verarbeitet wurden. Hintergrund: Eine bei jeder Facebook-Fanpage aktive Funktion („Facebook Insight“) erhebt – unter anderem durch den Einsatz von Cookies – Daten über den individuellen Nutzer und stellt dem Betreiber der Fanpage dann (anonymisierte) Datensätze zur Verfügung, die Rückschlüsse auf Alter, Geschlecht, Beziehungsstatus, berufliche Situation usw. der Besucher erlauben. Aufgrund dieses Zusammenwirkens liegt nach Ansicht des EuGH eine Form der sog. „gemeinsamen Verantwortlichkeit“ vor (vgl. Art 26 DSGVO). Daraus folgt, dass nicht nur Facebook selbst sondern auch der Betreiber der Fanpage für allfällige Datenschutzverstöße einzustehen hat.
Welche Folgen ergeben sich nun aus diesem Urteil? Zunächst hat der EuGH klargestellt, dass nicht nur ein soziales Netzwerk sondern auch der individuelle Betreiber einer Social Media Fanpage verpflichtet ist, seine Besucher transparent und in verständlicher Form darüber zu informieren, welche Daten zu welchen Zwecken durch das soziale Netzwerk sowie durch den Fanpage-Betreiber verarbeitet werden. Die Feststellung, dass – im Falle von Facebook Fanpages – eine „gemeinsame Verantwortlichkeit“ im datenschutzrechtlichen Sinne vorliegt, verpflichtet den Betreiber der Fanpage sowie das soziale Netzwerk zudem zum Abschluss einer Vereinbarung, aus der sich ergibt, wer von ihnen welche Verpflichtung der DSGVO erfüllt. Werden bei Besuch dieser Fanpage Cookies gesetzt oder die Besucher in anderer Form getrackt, wird ferner eine Einwilligung des Besuchers erforderlich sein.
Dringender Handlungsbedarf besteht somit sowohl für Fanpage-Betreiber als auch für Facebook (sowie allenfalls andere, vergleichbare Plattformen).
Fazit und Ausblick
Wie für mittlerweile fast jeden Bereich des täglichen Lebens, gelten auch für das Wirken von Website- bzw. Blogbetreibern eine Vielzahl rechtlicher Vorgaben, die nicht immer leicht zu durchdringen sind. Die Vorgaben der DSGVO stellen dabei allerdings keine unüberwindbaren Hürden dar, die (wie leider bereits vielfach geschehen) zu einer angstgetriebenen Löschung von Internetinhalten und -angeboten führen sollten. Auch eine Umsetzung nach Augenmaß sollte jedoch nicht die bestehenden Risiken außer Acht lassen. Während das Risiko eines Verwaltungsstrafverfahrens für Blogbetreiber aus mehreren Gründen relativ gering sein dürfte, sind mögliche zivil- bzw wettbewerbsrechtliche Angriffsflächen nicht von der Hand zu weisen. Grund zur Panik besteht jedoch nicht. In diesem Zusammenhang darf darauf hingewiesen werden, dass – ebenso wie die im Internet verfügbaren und teilweise durchaus brauchbaren DSGVO-Leitfäden – selbstverständlich auch dieser Beitrag in seiner formatbedingten Pauschalität eine rechtliche Beurteilung des Einzelfalles nicht ersetzen kann.
Besonders interessant für die Website- bzw. Blogbetreiber werden die künftigen Entwicklungen rund um eine weitere EU-Verordnung sein, die jedenfalls in den vergangenen Monaten in einigen Kreisen mindestens so viel Aufmerksamkeit erzeugt und für hitzige Debatten gesorgt hat wie zuvor die DSGVO. Diese derzeit lediglich in Entwurfsform vorliegende sog. „ePrivacy Verordnung“ stellt die derzeitige Praxis insbesondere hinsichtlich der Verwendung von Cookies insgesamt infrage. Der dahinterstehende, (sehr) strenge Ansatz der Europäischen Kommission ist, dass der Nutzer vorab umfassend und verständlich über jede zu setzende Cookie informiert werden muss und jeweils einzeln zustimmen muss. Hierzu wird mit Spannung erwartet werden dürfen, ob bzw wie lange der Verordnungsgeber dem politischen Druck der (Werbe-)Wirtschaft wird standhalten können.
Foto: beigestellt, Peter M. Mayr
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.