Ab 25. Mai 2018 gilt in Deutschland die Datenschutzgrundverordnung (DSGVO). Das hat Konsequenzen für nahezu jeden, der eine eigene Homepage hat. Also auch für freie Journalisten und Blogger. Ich habe Rechtsanwalt Christian Solmecke von WBS Law in Köln zum Thema Fragen gestellt:
Datenschutzgrundverordnung ist ein ziemliches Wortungetüm. Was hat es damit auf sich?
Der Datenschutz sichert das Grundrecht auf „informationelle Selbstbestimmung“. Bislang haben alle europäischen Länder basierend auf der EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) ein eigenes Datenschutzrecht, das dieses Grundrecht sichern soll. In Deutschland ist es bis 24. Mai 2018 noch das alte Bundesdatenschutzgesetz (BDSG). Ab 25. Mai werden die Vorgaben dann europaweit in der EU-Datenschutzgrundverordnung geregelt.
Ihr Ziel ist also ein weitestgehend einheitliches Datenschutzrecht innerhalb der EU. Die Regeln werden auch für Unternehmen gelten, die ihren Sitz außerhalb der EU haben, ihre Angebote aber an EU-Bürger richten. Das heißt, die DSGVO gilt auch beispielsweise für Facebook oder Google. Die DSGVO schafft neue Rechtsgrundlagen für die Datenverarbeitung, sie verstärkt Rechte der Betroffenen und intensiviert die Pflichten der Verantwortlichen.
Verordnungen haben – anders als Richtlinien, die erst in nationales Recht umgewandelt werden müssen – unmittelbare Wirkung auch in den Mitgliedstaaten der EU. Darum gilt die DSGVO also ab dem 25. Mai auch in Deutschland. Zeitgleich tritt in Deutschland ein dazu gehöriges neues BDSG in Kraft, das die DSGVO konkretisiert und zum Teil auch ergänzt.
Das Bundesdatenschutzgesetz regelt doch schon, dass personenbezogene Daten nicht ohne Erlaubnis im Internet erhoben werden. Was also ändert sich durch die DSGVO?
Richtig, Unternehmen dürfen schon jetzt personenbezogene Daten nur erheben, verarbeiten und nutzen, wenn Betroffene eingewilligt haben oder das Gesetz es ausdrücklich erlaubt. Zusätzlich müssen sie im Hinblick auf ihre eigene rechtliche, betriebliche und technisch-organisatorische Struktur eine Vielzahl von Vorgaben beachten, um etwa Transparenz, Kontrolle und Sicherheit der gesammelten Nutzerdaten vor unbefugten Zugriffen Dritter zu gewährleisten.
Die Änderungen durch die DSGVO betreffen trotzdem im Grunde alle, die eine Website betreiben. Denn jeder Zugriff auf eine Homepage übermittelt automatisch die IP-Adresse. Damit fällt allein das Bereitstellen einer Webseite in den Geltungsbereich der DSGVO.
Was genau sind personenbezogene Daten?
„Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“ (Art. 4 Nr. 1 DSGVO).
Auf Deutsch: Es sind solche Informationen, die irgendwie Rückschlüsse auf eine Person zulassen. Entscheidend ist nicht, dass die Zuordnungsinformationen allgemein bekannt sind, sondern allein, dass man die Daten mit vertretbarem Aufwand einer bestimmten Person zuordnen kann. Beispiele sind:
- Name
- Telefonnummer
- E-Mail-Adresse
- KfZ-Kennzeichen
- IP-Adresse
- IBAN.
Werden die Daten personenbezogen übertragen, wenn man Google Analytics und ähnliche Tracking-Tools nutzt?
Ja, in der normalen Version sendet Google Analytics unter anderem die vollständigen IP-Adressen der Nutzer an Google in die USA. Das ist nicht anonym, sondern es sind personenbezogene Daten. Anonyme Daten hingegen lassen keine Rückschlüsse auf konkrete Personen zu.
Allerdings gibt es die Möglichkeit, nicht mehr die kompletten IP-Adressen der Webseitenbesucher zu speichern, sondern mithilfe der Google-Funktion anonymizeIP die IP-Adresse zu verkürzen. Diese Funktion verwirft das jeweils letzte Oktett der IP-Adresse. Dadurch werden die Daten anonymisiert. Die Einbindung ist zwar recht kompliziert, in der Praxis aber unvermeidbar.
Nutzt man den Dienst, muss man zusätzlich darauf in der Datenschutzerklärung hinweisen. Und man muss Nutzern die Möglichkeit geben, zu widerrufen. Das nennt man „opt-out“.
Was bedeutet die DSGVO für Blogger und Journalisten mit eigener Webseite?
Zwar gibt auch die neue DSGVO den EU-Ländern die Möglichkeit, weiterhin ein sogenanntes „Medienprivileg“ vorzusehen. Demnach müssen Medienunternehmen und Journalisten im Rahmen ihrer Tätigkeit fast kein Datenschutzrecht beachten, wenn sie personenbezogene Daten verarbeiten. Einhalten müssen die Redaktionen aber Vorschriften zur Datensicherheit. Das wird wohl auch in Zukunft so bleiben. Wie genau eine solche Ausnahme in den landesrechtlich geregelten besonderen Bestimmungen des Datenschutzes bei Presse und Rundfunk aussehen soll, darüber wird noch diskutiert.
Klar ist aber: Wer eine Website betreibt, muss – auch als Journalist – die klassischen Pflichten aller Webseitenbetreiber beachten. Das wird nämlich nicht vom Medienprivileg umfasst sein, weil es hier nicht um klassische journalistisch-redaktionelle Tätigkeit geht.
In diesen Bereichen haben die Bürger zum Beispiel das Recht, Auskunft über ihre Daten zu erhalten. Websites müssen sich auch an die Verpflichtung zur Datenminimierung halten, Daten aus Kontaktformularen verschlüsselt übertragen und weitere technische Sicherheitsvorkehrungen beachten. Insbesondere sind Betreiber von Websites verpflichtet, eine rechtskonforme Datenschutzerklärung bereitzustellen. Wer schon eine hat, muss sie anpassen.
Im Gesetz ist von „berechtigtem Interesse“ die Rede, wenn es um die Verarbeitung von Daten geht. Haben Journalisten mit eigener Webseite oder Blogger ein „berechtigtes Interesse“? Oder sollten sie lieber alle Tracking-Möglichkeiten und Newsletter abschalten?
Für Tracking oder Newsletter gelten für Blogger und Journalisten die gleichen Regeln wie für andere Internetseitenbetreiber auch. Das bedeutet allerdings nicht, dass sie diese Funktionen abschalten müssen beziehungsweise keine Newsletter mehr versenden können. Es bedeutet nur, dass sie sich bezüglich Newslettern an die strengeren Regeln der DSGVO und später im Hinblick auf pseudonymisiertes Tracking an die noch im Abstimmungsprozess befindliche ePrivacy-Verordnung halten müssen.
Das berechtigte Interesse umfasst übrigens jedes legitime rechtliche, tatsächliche, wirtschaftliche oder ideelle Interesse. Dabei muss stets eine umfassende Interessenabwägung erfolgen. Die Interessen beziehungsweise Grundrechte oder EU-Grundfreiheiten der betroffenen Person bezüglich der relevanten Daten dürfen nicht überwiegen.
Dabei spielt insbesondere der Zweck der Datenverarbeitung eine Rolle und die Art beziehungsweise der Inhalt der betroffenen Daten. Ob und bezogen auf welche Datenverarbeitung ein berechtigtes Interesse vorliegt, muss ein Webseitenbetreiber für jeden Zweck, zu dem Daten verarbeitet werden, genau bestimmen und diese Abwägung auch in die Datenschutzerklärung aufnehmen. Hierzu gibt es – weil die DSGVO ja noch nicht anwendbar ist – noch keine Rechtsprechung. Aber man wird wohl sagen können, dass auch abseits der Regelungen zum Medienprivileg Journalisten sich nicht allein aufgrund ihres Berufes auf das „berechtigte Interesse“ berufen können, wenn sie einfach nur eine normale Webseite betreiben.
Ihr Tipp: Was sollte man jetzt tun?
Die Datenschutzerklärung muss angepasst werden. Denn nach unserer Erfahrung entspricht nahezu keine der heute verwendeten Datenschutzerklärungen den Vorgaben, die durch die DSGVO künftig statuiert werden – zum Beispiel im Hinblick auf Logfiles, Registrierung und den Einsatz von Analyse – beziehungsweise Trackingdiensten. Zukünftig müssen Unternehmen ihre Kunden sehr viel detaillierter darüber informieren, welche Daten sie wie, auf welcher Grundlage und zu welchem Zweck verarbeiten.
Webseitenbetreiber verpflichten sich zur Verwendung möglichst datenschutzfreundlicher Voreinstellungen. Es dürfen nur die Daten verarbeitet werden, die für den bestimmten Verarbeitungszweck erforderlich sind. Daher: überprüfen Sie, welche Daten – eventuell auch unter Einschaltung externer Dienste – auf Ihrer Webseite erhoben werden.
Darüber hinaus muss im jeweiligen Einzelfall geschaut werden, welche Anpassungen bei der konkreten Website notwendig sind – hier sollte man sich gegebenenfalls anwaltlich beraten lassen.
Was kann passieren, wenn man sich nicht mit der DSGVO auseinandersetzt?
Die zuständigen Aufsichtsbehörden können Bußgelder verhängen. Die Bußgelder können – je nach Verstoß – bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen. Es gilt immer der jeweils höhere Betrag. Dieser erhöhte Bußgeldrahmen richtet sich aber vor allem an Großunternehmen.
Daneben besteht auch weiterhin die Möglichkeit, wegen bestimmten Datenschutzrechtsverstößen wettbewerbsrechtlich abgemahnt zu werden, was – je nach Ausmaß und Zahl der Verstöße – hohe Abmahnkosten verursachen kann.
Neu ist auch, dass im Hinblick auf Schadensersatzansprüche von Betroffenen nun ausdrücklich immateriellen Schäden genannt werden, was zu einer deutlichen Zunahme von Prozessen und entsprechenden Urteilen führen dürfte.
Zum Weiterlesen
WBS Law bietet einen DSGVO-konformen Datenschutzerklärungsgenerator
Auf Datenschmutz.net gibt es eine Checkliste für Blogger
Auch auf Newmediapassion.com gibt es zum Thema Hilfestellung
Gute Zusammenfassung bei Webpunks
Mailchimp, Newsletter und Datenschutz
WordPress-Plugins & DSGVO
DSGVO & WordPress
100+ WordPress-Plugins im DSGVO-Check
So bekommen freie Journalisten das richtige Impressum für ihre Homepage
Wenn es so einfach wäre. Ich greife mal einen Punkt heraus. Ziatat: „Auf Deutsch: Es sind solche Informationen, die irgendwie Rückschlüsse auf eine Person zulassen. “ Ja ja, wenn mand en gesunden menschenverstand walten lassen WÜRDE, könnte man es sich erklären. Die Realität sieht aber anders aus. Durch die sehr schwammig und unklar definite Verordnung interpretieren „scharfe“ Daten“schützer“ die Verordnung anders, nämlich z.B. unsere bajuwarischen Freunde. Diese sind der Meinung, dass gar keine Diskussion darüber entstehen dürfen, ob anonymisierte Daten personenbezogen sind oder nicht. Experten wie Prof. Dr. Christoph Bauer stellen sich zwar auf den Standpunkt, dass anonymiserte Daten nicht unter das DSGVO fallen, aber ob die Daten“schützer“ dem anschließen bleibt offen. Hier drohnen Bußgelder, die man eventuell erst vor Gericht urückerstreiten kann.
Ob Datenschutzrechtsverstöß wettbewerbsrechtlich relevant sind dafür gibt es noch keine belastbaren Indizien. Da würde mich eine Quelle sehr interessieren. Das scheit mir eine vage, mutige und nicht belegbare Aussage.
Die 2 Hauptprobleme werden nicht angesprochen. 1) Bürokratie. Diese ist nicht zu unterschätzen und trifft eben auch jeden Blogger und jede Redaktion. Denn man hat eine Nachweißpflicht und muss alle dokumentieren. Eben auch in dem Fall wo man die Daten, weil man Journalist ist, rechtmäßig verarbeitet. Und muss dies auch, nicht nur gegenüber den Behörden, sondern auch gegenüber jeder Privatperson detailiert nachweisen können! 2) Die E-Privacy Verordnung. Diese wird nur in einem Nebensatz erwähnt. Dieser aber umzusetzen, bzw. mit der DSGVO in Einklang zu bringen ist die große Herausforderung.
Lieber Thorsten,
du hast sicherlich Recht damit, dass das Ganze sehr komplex werden wird. Der Artikel heißt aber: „Was Journalisten & Blogger JETZT tun müssen“. Im Moment können sie nicht sehr viel mehr machen als das, was im Text und den Dokumenten zum Weiterlesen beschrieben ist. Denn wie es ja auch im Artikel steht, ist Vieles noch gar nicht sicher: Die ePrivacy-Verordnung zum Beispiel ist noch in der Abstimmung, und auch zum Thema „berechtigtes Interesse“ gibt es noch keine Rechtsprechung. Sinn dieses Artikels ist es, den Kolleginnen und Kollegen klar zu machen, dass sie vor Ende Mai definitiv etwas tun müssen – nämlich sich mit dem Thema auseinandersetzen. Wir werden bestimmt am Ball bleiben, und in weiteren Artikeln zum Beispiel erklären, wie das mit der Dokumentationspflicht in der Praxis aussehen könnte. Dass Bürger einen Auskunftsanspruch haben, steht bereits in diesem Artikel.
Zum Thema Datenschutz und Wettbewerbsrecht gibt es übrigens einige Texte von Juristen, einer bezieht sich auf ein Urteil des LG Frankfurt. Dazu kannst du beispielsweise hier mehr erfahren: https://www.telemedicus.info/urteile/Datenschutzrecht/1438-LG-Frankfurt-a.M.-Az-3-10-O-8612-Vorheriger-Hinweis-auf-Trackingtool-Piwik.html
Wie sieht es andersherum aus? Ale Journalist erhalte ich Pressemitteilungen von Unternehmen und PR-Agenturen, die für mich – zumindest oft ;-) – relevant sind. Zu 99% habe ich mich dort nicht selbst in einen Verteiler eingetragen, sondern bin im Verteilerkreis gelandet, weil jemand im Internet nach meinem Ressort recherchiert hat und so an meine Kontaktdaten kam. Eingewilligt habe ich also nicht – will ich aber auch nicht müssen. Was passiert nach der DSGVO solchen mit Presseverteilern?
… darauf bin ich auch gespannt!
Und wie ist das nun mit normalen Webseiten, gilt das nur für Blogger und Journalisten, oder auch für Leute wie mich, die ein Übersetzungsbüro mit einer Webseite haben?
Siehe Text: „Das hat Konsequenzen für nahezu jeden, der eine eigene Homepage hat.“