Dieser Beitrag informiert über die Anforderungen und Pflichten aus DSGVO und ePrivacy sowie einigen anderen Gesetzen. Warum ist das so wichtig?
Als Betreiber einer Website bist du Anbieter von „Digitalen Diensten“ mit „journalistisch-redaktionellen“ Beiträgen. Somit gelten für dich einige Gesetze, Verordnungen und Richtlinien, unabhängig davon, ob du das Blog gewerblich oder privat betreibt. Und auf deren Einhaltung solltest du sehr sorgfältig achten. Die folgenden Gesetze kommen zur Anwendung:
- Das DDG (ehemalig TMG): rechtliche Rahmenbedingungen für Digitale Dienste
- Der MStV (ehemalig RStV): Vorgaben für Inhalte auf Telemedien
- Das BDSG: der Umgang mit personenbezogenen Daten
- Das UrhG: Urheberrecht und verwandte Schutzrechte
- Das KUG: Urheberrecht an Werken der bildenden Künste und der Fotographie
- Das UWG: das Gesetz gegen unlauteren Wettbewerb fordert die Kennzeichnung von Werbung gegenüber redaktionellen Inhalten
- Die ePrivacy-Richtlinie (2002/58/EG): Mindestvorgaben für Datenschutz und Telekommunikation
- Die Cookie-Richtlinie (2009/136/EG): Ergänzung zur ePrivacy-R (2002/58/EG) um Vorgaben bzgl. der Verwendung von Cookies
- Die DSGVO: Datenschutz-Richtlinie der EU vom 25.05.2018; ersetzt weite Teile des TMG und des BDSG
- Das TDDDG (ehemalig TTDSG): Telekommunikations-Digitale-Dienste-Datenschutz-Gesetz; regelt unter anderem den Umgang mit Cookies
- Die ePrivacy-VO: Verschärfung zum Einsatz von Cookies und Online-Werbung, sollte schon 2019 in Kraft treten, wird aber auf EU-Ebene noch verhandelt
Im Wesentlichen beziehen sich all diese gesetzlichen Vorgaben auf
- den Schutz personenbezogener Daten (der Website-Besucher)
- die Haftung für die Website-Inhalte
- die erkennbare Trennung von redaktionellem Inhalt und Werbung (wenn du dein Blog gewerblich nutzt)
- den Schutz von Urheberrechten.
DSGVO und ePrivacy
In diesem Kontext sind besonders DSGVO und ePrivacy-VO zu erwähnen. Denn sie haben weitreichende Auswirkungen auf die meisten Web-Angebote und somit auch auf dein zukünftiges Blog.
Darüber hinaus ist aber davon auszugehen, dass es auch in der Zukunft immer wieder Anpassungen / Überarbeitungen / Verschärfungen an den anderen, oben erwähnten Vorschriften geben wird. Halte also nicht ausschließlich DSGVO und ePrivacy-VO im Auge.
Die DSGVO
Sie trat am 25.05.2018 in Kraft und erzeugte eine erste große Verschärfung der Rechtslage für fast alle Internet-Angebote. Ausschließlich rein private Websites sind von den Verpflichtungen weitgehend ausgenommen. Doch die Grenze zur gewerblichen Nutzung ist schnell überschritten. Schon eine Gewinnerzielungsabsicht reicht hier aus, um unter die DSGVO zu fallen.
Jeglicher Umgang mit personenbezogenen Daten (wozu kraft dieser Verordnung auch IP-Adressen zählen) fällt unter die Vorgaben der DSGVO und erfordert eine rechts-konforme Ausgestaltung der Prozesse.
Solltest du also fest einplanen, dein Blog (wann auch immer) gewerblich zu nutzen, ist es ratsam, alle Angebote und Elemente auf deinem Blog und in der Peripherie DSGVO-konform einzurichten.
Im Wesentlichen betrifft das alle Funktionen, die mit der Speicherung und Übertragung personenbezogener Daten zu tun haben. Auf deinem Blog wären das also die Verschlüsselung, die Kommentarfunktion, ein Newsletterangebot, ein Forum, die Social Media Share-Buttons, die Verarbeitung und Speicherung von Daten bei Drittanbietern (externe Server, Cloud-Speicher, CDN, der AMP-Service von Google, usw.).
Wenn du zu den für dich relevanten Funktionen im Netz nach Handlungsanweisungen suchst, achte auf die Aktualität der Beiträge. Viele DSGVO-konforme Lösungen sind erst nach dem Inkrafttreten der DSGVO veröffentlicht worden. Und mit Empfehlungen aus den Jahren vor 2018 solltest du besonders vorsichtig umgehen, sobald personenbezogene Daten im Spiel sind. Viele dieser Anleitungen sind nach neuer Rechtslage brandgefährlich.
Die ePrivacy-Verordnung (EPVO)
Die ePrivacy-Verordnung sollte schon 2019 in Kraft treten, wird aber auf EU-Ebene noch verhandelt. Sie soll in verschärfter Form die bisher gültige alte ePrivacy-Richtlinie (2002) und die ergänzende Cookie-Richtlinie von 2009 ablösen. Dann ist unter anderem Tracking per Cookie nur noch erlaubt, wenn der User seine ausdrückliche Zustimmung erteilt hat und wenn diese Zustimmung nachweislich dokumentiert wurde. Das Opt-In-Verfahren wird damit zum Standard-Pflicht-Programm einer Website, sobald Cookies zum Einsatz kommen.
Allerdings forderte der BGH vom Website-Betreiber schon 2020 eine solche Praxis (Urt. v. 28.5.2020 – I ZR 7/16), wenngleich die entsprechende gesetzliche Grundlage (§ 15 Abs. 3 TMG) nicht ausreichend belastbar war. Was sich aber mit dem TDDDG geändert hat:
Das TDDDG
Das Telekommunikations-Digitale-Dienste-Datenschutz-Gesetz trat am 01.12.2021 als TTDSG inkraft und wurde im Mai 2024 umbenannt. Es enthält unter anderem klare Vorgaben für den Einsatz von Cookies (§25) auf einer Website und beseitigt die (oben erwähnte) Rechtsunsicherheit, die seit Jahren aus ePrivacy-Richtlinie und § 15 Abs. 3 TMG bestand (nämlich bezüglich der Forderung nach einer obligatorischen Cookie Einwilligung).
Wenn in Zukunft (wann auch immer) die geplante ePrivacy-Verordnung (siehe oben) inkraft tritt, wird das TDDDG aber sicher wieder angepasst werden müssen.
Konsequenzen bei Missachtung
Hält man sich als Website-Betreiber nicht an DSGVO und ePrivacy sowie die anderen Gesetze, dann erhöht sich das Risiko, per Abmahnung zur Kasse gebeten zu werden. Es gibt Anwalts-Kanzleien, die sich auf das Internet spezialisiert haben und mit geeigneten Methoden das Netz nach fehlerhaften Internetseiten abscannen.
Also solltest du auf jeden Fall deinen gesamten Web-Auftritt samt der Peripherie (Hosting, Server, Cloud-Dienste, Datenverarbeitung durch Dritte, usw.) konform zu DSGVO und ePrivacy sowie den anderen Vorschriften betreiben. Und dies bleibt eine ständige Aufgabe, denn die Entwicklungs-Geschwindigkeit bei Internet und elektronisch vernetzter Welt ist rasant und bringt immer wieder neue oder geänderte Rahmenbedingungen hervor, auf die du als Website-Betreiber zeitnah reagieren musst.
Impressum und Datenschutzerklärung
Aus all diesen Gesetzen und Richtlinien resultieren bestimmte Handlungsvorgaben, unter anderem die Notwendigkeit von Impressum und Datenschutzerklärung. Diese beiden Seiten sind die allerwichtigsten auf deinem Blog. Wenn du sie nicht vorweisen kannst oder auch nur an der falschen Stelle in deinem Blog platziert hast, drohen Abmahnungen und empfindliche Strafen. Deshalb solltest du diese Seiten sehr ernst nehmen und als allererstes erstellen, noch bevor du mit ersten Beiträgen beginnst.
Für das Impressum und auch für eine DSGVO-konforme Datenschutzerklärung findest du im Internet Generatoren, die unter bestimmten Bedingungen (Nennung der Quelle z.B.) kostenlos verwendet werden können. Auch WordPress liefert schon eine DSGVO-konforme Vorlage für die Datenschutzerklärung im Dashboard an (Einstellungen > Datenschutz). Diese musst du allerdings bei Bedarf noch um weitere Module ergänzen, je nachdem, welche Elemente du auf deinem Blog einsetzt (Social Media Buttons, Cookies, usw.). Bei den Generatoren leitet man dich durch einen Katalog von Fragen, aus deren Antworten dann eine genau auf deine Bedürfnisse zugeschnittene Datenschutzerklärung erstellt wird.
Platzieren musst du die beiden Seiten dann an einer Stelle in deinem Blog, wo sie auf jeder angezeigten Einzelseite zur Verfügung stehen und mit maximal einem Mausklick erreichbar sind. Dafür eignet sich beispielsweise ein Fußzeilenmenü als Ergänzung zu deinem Menü für die Blog-Inhalte.
Teste die Sichtbarkeit dieser Links dann aber auf allen möglichen Displaygrößen: PC-Monitor, Tablet und Smartphone. Schau nach, ob nicht irgend ein anderes Element deiner Seite (z.B. die Social Media Share-Buttons) den Zugang zu diesen Seiten verdeckt.
Und du solltest diese beiden Seiten in den Metadaten auf Noindex setzen. So stellst du sicher, dass Suchmaschinen diese Seiten nicht indexieren und das sie nicht in den Suchergebnissen landen. Es reicht ja, wenn sie auf deiner Website zugänglich sind.
Verwendest du das Plugin Yoast SEO (was ich nur empfehlen kann), kannst du diese Eingabe im Yoast SEO – Fenster am Fuß der im Texteditor geladenen Seite unter dem Reiter „Erweitert“ einstellen: „Erlaube Suchmaschinen, diese Seite in den Suchergebnissen anzuzeigen“: nein.
Wenn du in deinem Blog Social Media Share-Buttons anbietest, musst du deren Verwendung auch in der Datenschutzerklärung erwähnen. Das geschieht automatisch, wenn du einen Datenschutzerklärungs-Generator nutzt. Dort wird anhand deiner Antworten auf die gestellten Fragen der passende Text-Passus hinzugefügt.
Du musst auch in deinem Impressum angeben, dass dieses Impressum ebenso für deine Social Media Auftritte gilt. Dementsprechend musst du dann in deinen Social Media Accounts einen Link auf das Impressum auf deinem Blog anbieten.
Prüfe auch immer wieder von Zeit zu Zeit, ob alle Links zu Impressum und Datenschutzerklärung noch funktionieren.
Weitere Maßnahmen für DSGVO-Konformität
Neben dem Impressum und der Datenschutzerklärung sind noch viele weitere Einstellungen in deinem Blog vorzunehmen, um DSGVO-konform zu sein. Manches lässt sich über die Einstellungen im Dashboard vornehmen (z. B. Emoticons und Avatare), anderes benötigt vielleicht einen Eingriff in den Quellcode deiner Website.
Und zusätzlich müssen einige diese Funktionen dann in der Datenschutzerklärung erwähnt werden (z. B. die Nutzung von externen Diensten wie Twitter, Youtube, Hoster, Cloud, usw.)
Einige der gängigsten Funktionen und die betreffenden Maßnahmen zur DSGVO-Konformität sind im Folgenden aufgelistet:
Emoticons und die DSGVO
Unter Dashboard > Einstellungen > Schreiben > Formatierung: bei „Emoticons in Grafiken umwandeln“ den Haken entfernen (sonst werden automatisch Dienste von Dritten auf deine Website geladen, die nicht DSGVO-konform sind). Willst du sie trotzdem zulassen, nutze ein Plugin wie „Local Emoji“. Es speichert die Emoticons lokal auf deinem Webspace.
Avatare und die DSGVO
Im Dashboard > Einstellungen > Diskussion > Avataranzeige > hier den Haken entfernen (denn du weißt nie, ob das Avatar eines Kommentierenden irgendwelche Urheberrechte verletzt. Und mit der Veröffentlichung des Avatars haftest auch du). Solltest du sie dennoch zulassen, dann sorge über ein Plugin wie Avatar Privacy für DSGVO-Konformität.
Kommentare und die DSGVO
Einstellungen > Diskussion > Standardeinstellungen für Beiträge > über den Befehl „Besuchern erlauben, neue Beiträge zu kommentieren“ kannst du die Kommentar-Funktion aktivieren oder auch deaktivieren. Wenn du Kommentare zulässt, sollte die Löschung der IP-Adressen der User per Plugin oder über einen Eintrag in der Datei functions.php in deinem Theme erfolgen, damit es DSGVO-konform ist.
Social Media Share-Buttons und die DSGVO
Jeder nutzt sie: die Sozialen Netzwerke Facebook, Twitter und wie sie alle heißen. Und der Publicity willen ist jeder Blogger bestrebt, sich so intensiv wie nur möglich zu vernetzen. Dazu zählt auch das Einbinden der eigenen Social-Media-Accounts über Share-Buttons auf der eigenen Website. Das solltest du nur noch über ein Plugin wie Shariff Wrapper bewerkstelligen, um DSGVO-konform zu sein. Dieses Plugin stellt sicher, dass nicht schon vor dem Betätigen eines solchen Share-Buttons die IP-Adresse eines Besuchers an die Plattformbetreiber weitergeleitet wird.
Zusätzlich musst du die Nutzung der Share-Buttons in der Datenschutzerklärung erwähnen und dort auf die Nutzung von Shariff Wrapper hinweisen.
Google Fonts und die DSGVO
Unterstützt das genutzte Theme die Einbindung der Google Fonts (die von Google kostenlos zur Verfügung gestellten Schriftarten), dann muss diese Funktionalität unterbunden werden, um DSGVO-konform zu sein.
Die Fachwelt diskutiert zwar noch über die exakte Auslegung der DSGVO zu diesem Punkt, aber sicherheitshalber sollte das Laden der Google Fonts unterbunden werden.
Entweder man deaktiviert die Nutzung dieser Fonts per Einstellung im Plugin Autoptimize (welches daneben auch zur Optimierung der Ladezeit wertvolle Dienste bereitstellt) oder man lädt die betreffenden Fonts aus dem Netz herunter und speichert sie lokal auf seinem Webspace ab.
Wenn du dich für ersteres entscheidest, musst du dich möglicherweise mit einfacheren Schriftarten im Layout deines Blogs zufriedengeben.
Google Maps und die DSGVO
Mit dem Einbetten von Google Maps solltest du noch abwarten, bis Google diesen Dienst DSGVO-konform anbietet. Solange Google mit der Auslieferung der Seite auf dem betreffenden Rechner ein Cookie setzt, ist es jedenfalls nicht DSGVO-konform.
Youtube-Videos und die DSGVO
Hier gilt das gleiche wie bei Google Maps. Bei Seiten mit eingebetteten Videos setzt Youtube beim Aufbau der Seite auf dem betreffenden Rechner Cookies. Sauber und DSGVO-konform ist dagegen ein einfacher Textlink zu einem auf Youtube befindlichen Video.
Wenn es deine eigenen Videos sind, ist das urheberrechtlich kein Problem. Solltest du fremdes Filmmaterial über die Verlinkung ansteuern, musst du vorab prüfen, ob mit deinem Web-Auftritt in irgendeiner Form Urheberrechte Dritter verletzt werden.
WordPress und die DSGVO
Wenn du deine Website weiter ausbaust, werden möglicherweise weitere Funktionen über Plugins hinzugefügt. Sobald sich aus deren Anwendung ein Umgang mit personenbezogenen Daten ergibt, sind all diese Vorgänge nach den Vorgaben der DSGVO einzurichten. In diesen Zusammenhang fallen auch die Rechte der User auf „Auskunft“ und „Löschung“ der gespeicherten Daten. Hierzu hat WordPress in seinem Dashboard mittlerweile auch 2 Funktionen bereitgestellt, die für genau diese Zwecke herhalten:
- Im Dashboard > Werkzeuge > personenbezogene Daten löschen: diese Funktion kommt zum Einsatz, wenn ein registrierter Besucher die Löschung seiner Daten verlangt.
- Im Dashboard > Werkzeuge > personenbezogene Daten exportieren: diese Funktion kommt zum Einsatz, wenn ein registrierter Besucher von seinem Recht auf Auskunft Gebrauch macht.
Lesetipp:
Reiseblogger werden – und was dein Blog erfolgreich macht
Gliederung der Beitragsreihe: Blog erstellen
- Blog erstellen – Prolog zur Schritt für Schritt Anleitung
- Schritt 1 – Die Planung deiner Website
- Schritt 2 – Selber hosten oder Plattform nutzen
- Schritt 3 – Das passende Theme für deine Website
- Schritt 4 – Frontend, Backend, Dashboard
- Schritt 5 – DSGVO und ePrivacy sowie andere Gesetze
- Schritt 6 – Deine Website schützen
- Schritt 7 – Plugins für deine Website
- Schritt 8 – Seiten und Beiträge, Kategorien, Schlagworte, Menü
- Schritt 9 – Medien und Bildbearbeitung für deine Website
- Schritt 10 – SEO-Maßnahmen für deine Website
- Schritt 11 – Monetarisierung deiner Website
Dieser Beitrag „DSGVO und ePrivacy“ enthält sehr viel wertvolle Information, mühsam zusammengetragen und sorgfältig aufbereitet. Du erhältst diese Infos kostenlos. Wenn dir der Beitrag gefallen hat, freuen wir uns. Als kleines Dankeschön könntest du
- den Beitrag in unseren Social Media Kanälen teilen
- weiterhin auf unserem Blog stöbern oder
- unseren Newsletter abonnieren.
Nichts mehr verpassen: Newsletter abonnieren