Mittwoch, 17. Oktober 2018

Neue Regeln von der EU Alles über den neuen, europaweiten Datenschutz

iStock via Getty Images

6. Teil: Worauf sollten Blogger und Betreiber kleiner Websites jetzt achten?

Viele Website-Betreiber und Blogger müssen sich mit der DSGVO auseinandersetzen - ansonsten drohen womöglich Abmahnungen. "Wenn ich auf meinem Blog zum Beispiel privat meine Katzen zeige, dann ist das okay, dann gilt die DSGVO für mich nicht", erklärt der Fachanwalt für IT-Recht Joerg Heidrich auf SPIEGEL-Anfrage. "Wenn ich das Gleiche aber als Züchter mache, wenn ich so auch nur indirekt mein Geschäft fördere, verlasse ich schon den rein privaten Bereich und muss auf die DSGVO-Vorgaben achten. Das gilt auch, wenn ich auf meiner Seite irgendwo Werbung oder Affiliate-Links schalte."

Generell gilt: Wer mit seinem Online-Angebot in irgendeiner Form Nutzerdaten verarbeitet (siehe Frage 4) - und sei es, weil etwa Wordpress-Plug-ins Nutzerdaten erfassen oder Nutzer in Kommentaren ihren Namen hinterlassen -, der sollte davon ausgehen, von der DSGVO betroffen zu sein. Im Zweifel kann man seine Datenschutzbehörde fragen, ob und welche Vorkehrungen man bis zum 25. Mai treffen muss.

Personen mit Handlungsbedarf rät Anwalt Heidrich, als Erstes die Website selbst DSGVO-fit zu machen - vor allem als Absicherung gegen etwaige Abmahnungen von Mitbewerbern oder Abmahnvereinen. So sollte man sich zum Beispiel einen Überblick verschaffen, welche Plug-ins von Drittanbietern im Hintergrund laufen.

imago/Westend61

"Nicht dringend gebrauchte Plug-ins oder Social-Media-Buttons (in ihrer Standardform) würde ich jetzt rausschmeißen", sagt Heidrich, "insbesondere dann, wenn offensichtlich ist, dass sie persönliche Daten erheben - und seien es nur IP-Adressen, denn auch die sind persönliche Daten."

Ebenso wichtig sei es, zusätzlich zum Impressum eine DSGVO-konforme Datenschutzerklärung auf der Website zu haben, die sich von jeder Unterseite aus erreichen lässt. Bei ihrem Aufsetzen könnten Online-Generatoren helfen, sagt Heidrich. Ein Beispiel für einen solchen Generator, der die DSGVO bereits berücksichtigt, finden Sie hier.

Bei nicht selbstgehosteten Angeboten muss zudem eine gesonderte Auftragsverarbeitungs-Vereinbarung mit dem Host-Provider abgeschlossen werden, also jenem Anbieter, bei dem das eigene Blog oder die eigene Website liegt. Ein solches Papier - eine Vorlage findet sich zum Beispiel hier - müsse einem der Anbieter auf Aufforderung übersenden, sagt Joerg Heidrich. Liegt die eigene Seite bei einem US-Hoster, ist es wichtig, dass die Firma am Datenschutzabkommen Privacy Shield (siehe Frage 10) teilnimmt, wie es zum Beispiel Google und Automattic - letzteres Unternehmen steht hinter Wordpress.com - tun.

Nicht vergessen sollte man auch, dass möglicherweise noch einVerzeichnis der Verarbeitungstätigkeiten rund um die eigene Website erstellt werden muss, etwa nach diesem Muster.

Sollte trotz aller Anpassungen des eigenen Internetangebots dennoch eine Abmahnung mit Bezug auf die DSGVO ankommen, rät Heidrich Betroffenen, sich an einen Anwalt zu wenden: "Sonst kann das unter Umständen richtig teuer werden."

© manager magazin 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der manager magazin Verlagsgesellschaft mbH