Die DSGVO betrifft natürlich auch private Webseiten. Und da müssen mehr Regeln beachtet werden, als den meisten klar sein dürfte. Einige Ausnahmen für private Webseiten gelten nicht mehr und neue Voraussetzungen müssen erfüllt werden. Hier unsere Tipps, wie ihr eure private Homepage DSGVO-sicher macht.
Bislang galt beispielsweise die Regel, dass private, nicht kommerzielle Webseiten kein vollständiges Impressum benötigen – das ist nun anders. Welche Regeln ihr außerdem erfüllen und welche Umstände ihr überprüfen müsst, erklären wir euch hier.
Private Webseiten und die Datenspeicherung in Zeiten der DSGVO
Auch wenn eine Homepage nur ein paar Texte und harmlose Katzenbilder enthält, werden durch sie eventuell Daten gespeichert und Cookies gesetzt. Über beides müssen auch Betreiber einer privaten Webseite laut DSGVO ihre Besucher informieren. Das geschieht in der Regel über Cookie-Hinweise und die in letzter Zeit oft zitierte Datenschutzerklärung.
Worüber ihr auf jeden Fall informieren müsst:
- Der Server speichert Verbindungsdaten wie IP, Browser, Datum und Uhrzeit.
Daraus können Provider und Strafverfolger die Person hinter der Verbindung ausfindig machen. In der Regel kann man das als normaler Webspace-Kunde gar nicht verhindern. Einige der Daten müssen sogar gespeichert werden, falls es zu strafbaren Handlungen der Besucher kommt. - Wird eine E-Mail-Adresse für den Kontakt genannt, werden bei einer Kontaktaufnahme persönliche Daten des Absenders gespeichert.
In der Datenschutzerklärung muss unter anderem eine E-Mail-Adresse genannt werden. Also ist der Besucher darauf hinzuweisen, dass bei einer Kontaktaufnahme seine Daten auf Mailservern und Computern gespeichert werden.
Diese beiden Punkte betreffen nur den einfachsten Fall einer Webseite, die aus simplen HTML-Seiten besteht und nicht auf einem Content Management System beruht. Dabei werden dann keine weiteren statistischen Daten erhoben, es gibt kein Kontaktformular und keine Kommentarmöglichkeit. In dem Fall reicht eine einfache Datenschutzerklärung, wie man sie sich hier zusammenstellen kann.
DSGVO für komplexere private Homepages
Heutzutage hat kaum noch jemand eine so einfache Homepage wie oben beschrieben. Man nutzt Homepagebaukästen oder mietet sich Webspace und installiert ein CMS wie WordPress. Das rüstet man dann noch mit einem Statistik-Skript auf oder nutzt Google Analytics, richtet ein Kontaktformular ein und erlaubt Kommentare und Diskussionen. Das Ganze wird zusätzlich mit Google-Adsense-Werbung finanziert, außerdem gibt’s eine Facebook-Like-Box sowie Like-Buttons und schon sitzt man DSGVO-technisch in Teufels Küche…
Je nachdem, welche Arten und Mengen von Daten ihr speichert, muss das Erwähnung in der Datenschutzerklärung finden. Die Muster-Datenschutzerklärung ist auf so ziemlich alle Fälle vorbereitet. Klickt dort alles an, was auf eure private Homepage zutrifft und laut DSGVO erwähnt werden muss. Eventuell müssen noch einige Passagen in der fertigen Erklärung von euch geändert und angepasst werden.
- Auf jeden Fall müsst ihr Namen, Adresse und E-Mail-Adresse des Verantwortlichen angeben.
- Wenn ihr Kommentare erlaubt, gibt es zwei Möglichkeiten:
Entweder nutzt ihr die Möglichkeit, die IPs der Kommentatoren zu löschen, etwa durch ein Plugin wie Remove Comment IPs für WordPress.
Oder ihr kreuzt die entsprechende Option in der Mustererklärung an und beruft euch auf ein „berechtigtes Interesse“. - CMS-Systeme speichern auf jeden Fall Cookies. Weist darauf hin, etwa durch das Plugin Cookie Notice.
- Bremst die Datenschnüffelei von Facebook und Co durch ein Plugin wie den Shariff Wrapper, der die Verbindung erst herstellt, wenn tatsächlich jemand auf den Like-Button klickt.
- Weist auf die Nutzung von Diensten wie Jetpack (mit Statistik), Google Analytics, Google Adsense oder Newsletter-Anbieter klar und offen hin. Sie sind nicht verboten, aber der Betroffene muss erfahren, was ihn erwartet.
Apropos Google Adsense: Solltet ihr Werbung von Google oder anderen Anbietern auf eurer „privaten Homepage“ einbinden, gilt sie nicht länger als privat. Denn daraus ergibt sich eine „Gewinnabsicht“ und das bedeutet, dass ihr nicht nur ein vollständiges Impressum zeigen, sondern diese Einkünfte gegebenenfalls auch versteuern müsst.
Kommt der Abmahnanwalt? – Inhalte der Homepage
Niemand mag Abmahnanwälte – nicht mal die eigene Mutter. Trotzdem ist nicht zu befürchten, dass man als Betreiber einer privaten Webseite wegen der DSGVO plötzlich Post von einem Abmahnanwalt bekommt.
Immer wieder werden beispielsweise Fotos als Gefahrenquelle für Homepage-Besitzer dargestellt und alle Mitglieder von Facebook sind wegen der DSGVO aufgeregt. Völlig unnötigerweise! Für Fotos gelten die gleichen Regelungen wie vor der Verordnung: Viele Fotos werden vom „Kunsturhebergesetz“ geschützt und legalisiert. Aufnahmen von Plätzen und Gebäuden, von öffentlichen Konzerten und Wettkämpfen bedürfen keiner Genehmigung der eventuell enthaltenen Personen.
Und auch vorher schon gab es eine Einwilligungsvorschrift, die vorsieht, dass bereits vor der Anfertigung einer Personenaufnahme die Genehmigung dieser Person eingeholt wird. Das kann mündlich geschehen, sollte aber besser schriftlich abgesichert sein.
All das sind aber Themen, die einen Abmahnanwalt ohnehin nicht beschäftigen. Abmahnungen erfolgen üblicherweise, wenn sich ein Konkurrent oder eine Firma geschädigt sieht und die Unterlassung fordert. Für die hat sich durch die DSGVO nichts geändert und wenn sich nichts geändert hat, bestand die Schädigung bereits vor dem 25. Mai. Beleidigende und rufschädigende Kommentare oder Forenbeiträge haben nichts mit der Datenschutz-Grundverordnung zu tun, sondern mit dem normalen Recht.
Zudem ist in der DSGVO geregelt, dass in erster Linie zwei Gruppen gegen Verstöße vorgehen können:
- Die aufsichtsführenden Behörden des Bundes und der Länder. Die werden aber in der Regel fallweise entscheiden und zuerst Verwarnungen und Ratschläge aussprechen.
- Betroffene Privatpersonen, die das Recht haben, den Fall vor die Gerichte zu tragen.
Fazit: Offenheit und Problemminimierung
Die DSGVO ist für Betreiber einer privaten Homepage kein Weltuntergang! Allerdings brauchen sie eine Datenschutzerklärung und die sollte eben alles enthalten, was wirklich zutrifft. Gleichzeitig ist der Moment gekommen, an dem man sich mal fragen sollte, ob man wirklich so viele Daten sammeln will. Ob eine Statistik und Kommentare ohne IPs nicht ausreichen. Ob man die Jetpack-Widgets so sehr braucht, dass man gleichzeitig eine eigentlich unbrauchbare Statistik auf den WordPress-Servern speichert. Like-Buttons und Facebook-Boxen sorgen dafür, dass Besucher über alle Seiten hinaus ausgespäht werden – ist das nötig? Also ist jetzt die Zeit zu handeln.