In meinem Beitrag der letzten Woche bin ich auf den Blogger Datenschutz im allgemeinen eingegangen. Dabei wurden grundlegende Dinge zur Datenschutzerklärung und den Folgen der Nichtbeachtung aufgewiesen. Diese Woche möchte ich den Blogger Datenschutz etwas genauer unter die Lupe nehmen.
Wenn du Feedback hast, so freue ich mich über einen Kommentar am Ende dieses Beitrags!
Wichtiger Hinweis: Dieser Beitrag stellt keinerlei Rechtsberatung dar. Für rechtsverbindliche Aussagen konsultiere bitte einen Fachanwalt für Internetrecht! Es wird keine Haftung auf Vollständigkeit, Aktualität und Korrektheit übernommen!
Kommentare
Kommentare sind super. Der Nutzer hat die Möglichkeit Fragen zu stellen und Antworten zu bekommen. Der Blogger hingegen kann direktes Feedback seiner Leser aufnehmen und so Schwachstellen in seinen Texten ausmachen oder sich über Lob freuen. Gute Sache!
Wie schon letzte Woche erwähnt: sobald der Nutzer Daten angeben muss, werden diese auch verarbeitet (abgespeichert in der Datenbank, der admin per Mail benachrichtigt, in WordPress dargestellt) und ein Hinweis in der Datenschutzerklärung ist somit unerlässlich.
Jetzt ist es in der Regel so dass der Blogger (zumindest wenn er sich um seine Leserschaft kümmert) auf diesen Kommentar antwortet. Der Nutzer kriegt diese Antwort allerdings nicht mit, denn WordPress sieht keine Benachrichtigung der Nutzer über neue Kommentare vor.
Damit der Nutzer aber über die Antwort informiert wird (und somit wiederum einen Mehrwert erhält), kann man auf verschiedene Plugins zurückgreifen. Diese binden einfach ein Feld unter die Kommentarfunktion ein. Ist dieses aktiviert wird der Nutzer über nachfolgende Kommentare per E-Mail informiert. Doch damit dies mit dem Datenschutz im Einklang steht, geht es direkt mit dem nächsten Punkt weiter….
E-Mails versenden – gar nicht mal so einfach
Sofern dein Nutzer nun über neue Beiträge, Kommentare oder über einen Newsletter – per E-Mail – informiert werden, so stellt dies eine Besonderheit dar. Denn im Telemediengesetz (TMG §13, Absatz 2) ist niedergeschrieben dass du die Einwilligung des Empfängers benötigst.
Diese Einwilligung muss bewusst, eindeutig und im freien Willen des Empfängers erfolgen. Der eigentliche Clou ist jedoch dass die Einwilligung vor dem Erhalt der ersten tatsächlichen E-Mail vorliegen muss. Mit diesem Passus soll schlicht und ergreifend Spam vermieden werden, denn das dürftest du aus deinem privaten Postfach kennen: Spam gibt es zu genüge.
Nun wirst du sicherlich Anmerken wollen dass der Nutzer doch beispielsweise „Benachrichtige mich über nachfolgende Kommentare per E-Mail“ angeklickt hat. Das müsste doch ausreichen?!?
Nicht ganz, denn diese Funktion kann leicht missbraucht werden. Stell dir einfach mal folgendes Szenario vor:
Richard kann Viktor nicht leiden und will ihm eins auswischen. Richard kennt die private E-Mail Adresse von Viktor und schreibt nun Kommentare auf deinem Blog. Jetzt kreuzt er an dass er über neue Kommentare informiert werden will. Nun bekommt Viktor bei jedem neuen Kommentar eine E-Mail und das obwohl er weder etwas geschrieben noch diese E-Mails bekommen möchte.
Es gibt für alles eine Lösung
Was denkst du wird Viktor tun? Richtig er wird dich anschreiben weshalb du ihm E-Mails sendest, die er gar nicht erhalten möchte. Nun argumentierst du dass Viktor doch angekreuzt hat diese E-Mails empfangen zu wollen, doch beweisen kannst du es nicht. Diese einfache Bestätigung nennt man (Single) Opt-In-Verfahren.
Um diese Situation zu vermeiden hat man sich das Double-Opt-In-Verfahren ausgedacht. Hierbei wird die Beweislast umgekehrt. So sieht es in der Praxis aus:
Richard schreibt, mit Viktors E-Mail Adresse, einen Kommentar und will über weitere Kommentare informiert werden. Nun wird eine automatische E-Mail an Viktors Adresse versendet. In dieser ist ein Bestätigungslink. Klickt Viktor diesen an wird die E-Mail Adresse in der Datenbank gespeichert und er wiederum informiert. Klickt er nicht drauf (da er den Kommentar nicht selbst verfasst hat, wird er dies vermutlich nicht tun) wird die Adresse auch nicht in den Verteiler aufgenommen.
Hinweis: Bei der E-Mail mit dem Bestätigungslink handelt es sich übrigens um keinen Spam. Es dürfen jedoch keinerlei Werbemaßnahmen oder Ausschweifungen enthalten sein. Vielmehr muss auf den ersten Blick klar sein dass es sich hierbei um eine E-Mail aus dem Double-Opt-In-Verfahren handelt.
Werbung
Welcher Blogger träumt nicht davon von den Einnahmen seines Blogs leben oder zumindest die Kosten decken zu können? Um dies zu verwirklichen besteht die Möglichkeit Werbung auf deiner Internetseite zu schalten. Diese kann dabei ganz unterschiedlich ausschauen und auch von verschiedenen Anbietern sein, die Kernfunktion ist in der Regel immer die gleiche:
Sobald der Nutzer auf das Werbemittel (Link, Banner, etc) klickt, wird ein Cookie auf dem PC gespeichert. Diese Datei ermöglicht es dem Dienstleister (der die Werbung geschaltet hat) nachzuvollziehen woher der Nutzer kommt. Er sieht also dass der Nutzer von deiner Webseite kommt und kann dir anschließend die vereinbarte Provision zahlen.
Da du auch hier Daten deiner Nutzer verarbeitest: Hinweispflicht in der Datenschutzerklärung! In der Regel wirst du mit der Werbung eine Gewinnabsicht verfolgen, somit ist zudem ggf die Anmeldung eines Gewerbes notwendig.
Der Cookie Hinweis
Diesen hast du bestimmt schon einmal gesehen, dabei handelt es sich um einen kleinen Text der den Nutzer darüber informiert dass auf der Webseite Cookies eingesetzt werden. Doch was hat es damit auf sich?
In einer Richtlinie hat die EU festgelegt dass Daten – sofern nicht technisch notwendig – mithilfe von Cookies nur dann verarbeitet werden dürfen wenn die ausdrückliche Einwilligung des Nutzers vorliegt. Das das ganze hat einen Haken:
Denn diese Richtlinie wurde vom deutschen Gesetzgeber noch gar nicht umgesetzt. Vielmehr regelt man im Telemediengesetz (§13 Absatz 1 TMG) dass der Nutzer lediglich zu Beginn über den Einsatz von Cookies informiert werden muss. Dies kann beispielsweise in der Datenschutzerklärung geschehen.
Um die ganze Sache noch etwas komplizierter zu machen: google spielt bei dem Spiel auch noch mit! Denn in seinem großen Werbenetzwerk adsense regelt google dass der Nutzer, vor Beginn, über den Einsatz von Cookies informiert werden muss.
Doch was gilt nun? EU Richtlinie? Deutscher Gesetzgeber? Google? Prinzipiell natürlich dass was der Gesetzgeber vorgibt, wenn du allerdings Werbung bei adsense einblenden möchtest ist der Hinweis obligatorisch um nicht gegen die Nutzungsbedingungen zu verstoßen.
In der Regel schaut es so aus dass die meisten Webseiten mittlerweile den Cookiehinweis einblenden und in der Datenschutzerklärung auf den Einsatz von Cookies hinweisen. So ist man erstmal auf der sicheren Seite (bis der Gesetzgeber oder die EU eine Änderung vornehmen).
Die Gefahren von Social Media Buttons
Genau wie Kommentare sind Social Media Buttons eine hervorragende Möglichkeit um eine Interaktion mit den Nutzern zu fördern. Durch das teilen des Inhalts in den verschiedenen sozialen Netzwerken steigt deine Reichweite und somit unter Umständen wieder die Besucher und ggf. Einnahmen deiner Webseite. Doch die Sache hat zumindest in Deutschland einen Haken:
Die Social Media Buttons sind in der Regel per Direktlink (von den Socialnetworks) in deine Webseite eingebunden. Das bedeutet dass der eigentliche Button auf den Servern des Netzwerks liegt. Beim laden dieser Buttons werden bereits persönliche Daten wie beispielsweise die IP-Adresse oder aktive Cookies an das entsprechende Netzwerk gesendet.
Da die Daten bereits beim Laden der Buttons gesendet werden, spielt es keine Rolle ob der Nutzer nun auf den Button klickt. Die Daten werden so oder so übersendet. Auch ist es dabei unerheblich ob der Nutzer schon Mitglied ist oder halt nicht. Ist er schon Mitglied in diesem sozialen Netzwerk so werden die Daten direkt nochmal weiterverarbeitet. Denn dann kann beispielsweise der Weg des Nutzers verfolgt und anschließend maßgeschneiderte Werbung platziert werden.
Diese Social Media Buttons sind daher derzeit nicht mit dem deutschen Datenschutz vereinbar!
Doch es gibt eine Lösung: Die bekannte Zeitschrift C´T hat sich dem Problem angenommen und eine bzw. sogar zwei entsprechende Lösungen programmiert.
Zwei Klicks für mehr Datenschutz
Hierbei muss der Nutzer die Buttons erst einschalten bzw. aktivieren. Dies geschieht über einen Schieberegler. Solange die Buttons deaktiviert sind, werden auch keine Daten gesendet. Der Nutzer muss sich also aktiv (man erinnere sich an den letzten Beitrag zum Datenschutz) dazu entscheiden den Button zu nutzen. Nachteil: Es wird wesentlich weniger geteilt, denn zwei Klicks sind mehr als einer und das hält die Nutzer zum Teil schon ab.
Shariff – der Wächter der Daten
Mit Shariff wurde das Problem des „weniger teilens“ angenommen. Diese Buttons (siehe oben auf dieser Seite) haben die selbe Farbgebung wie die sozialen Netzwerke und sehen sogar recht stylisch aus. Die Buttons liegen auf deinem Server und bestehen aus einfachen html-Links. Über die API-Schnittstelle kontaktiert dein Server nun das Netzwerk und fragt ab wie oft die Seite schon geteilt wurde (und stellt es am Button dar).
Der Vorteil: Die Anfrage wird von deinem Server und wird an das soziale Netzwerk gesendet. Dabei wird lediglich deine Serveradresse, jedoch nicht die IP-Adresse (und andere Daten) des Nutzers übermittelt. Das soziale Netzwerk kann also nicht analysieren wer auf den Link geklickt hat und somit die Daten auch nicht verarbeiten. Den Link zu Sharrif gibt es weiter unten.
Analyse des Nutzerverhaltens
Jeder möchte seinen Erfolg sehen können und dies ist im Internet relativ einfach! Mit Anbietern wie google analytics ist es möglich detaillierte Statistiken und Analysen zu erfassen. Das ermöglicht eine noch genauere Ausrichtung der Webseite auf die Nutzer.
Wie schon bei der Werbung wird auch bei der Analyse ein Cookie auf dem PC des Nutzers gespeichert. So kann das Analyseprogramm erfahren woher der Nutzer kommt, auf welche Seiten er bei dir geklickt hat und wie lange er sich insgesamt bei dir aufgehalten hat.
Um den deutschen Datenschützern gerecht zu werden sind jedoch einige wichtige Dinge zu beachten!
Schriftlicher Vertrag
Die deutschen Behörden gehen davon aus dass du google damit beauftragst deine Daten zu erheben, auszuwerten und darzustellen. Somit bist du formal gesehen ein Auftraggeber und musst einen schriftlichen Vertrag mit deinem Auftragnehmer (google) schließen.
Das klingt schlimmer als es ist, denn google hat einen rund 18-seitigen Vordruck des Vertrags online gestellt. Hier musst du lediglich an einigen Stellen Daten einfügen und diesen anschließend zweimal ausdrucken. Beides schickst du für rund 3€ nach Irland. Nach einigen Tagen/Wochen erhälst du einen von beiden unterschrieben, für deine Unterlagen, zurück.
Wichtig: Hast du bereits vorher Daten erhoben musst du diese löschen (da diese unrechtmäßig erhoben wurden). Dies kann meines Wissens derzeit nur mit Löschung und Neuanmelden bei analytics geschehen.
IP-Anonymisieren
Du darfst die Daten nur nutzen wenn du sicherstellst dass die IP-Adressen deiner Nutzer anonymisiert werden. Bei der Anonymisierung wird der letzte Block der IP-Adresse durch eine 0 ersetzt. Beispiel:
Original: 192.168.31.544 Anonymisiert: 192.168.31.0
Es sind nun keine detaillierten Rückschlüsse auf den einzelnen User möglich. Es kann lediglich eine grobe Analyse gemacht werden.
Widerrufsrecht gewähren
Du musst deinem Nutzer die Möglichkeit geben der Verarbeitung seiner Daten zu widersprechen. Dies geht ganz einfach über eine Passage in deiner Datenschutzerklärung (und wird von den Generatoren eingefügt).
Der Nutzer kann nun entweder ein Plugin für seinen Browser installieren oder über einen alternativen Link einen Cookie auf seinem PC ablegen. Beides teilt google mit dass die Daten von diesem Gerät nicht übermittelt werden und somit keine Datenerhebung erfolgen darf.
Plugins
Aber auch einzelne Plugins können beispielsweise schon dafür sorgen dass du einen Hinweis in der Datenschutzerklärung einbringen musst. Deshalb ist es immer wichtig sich darüber zu informieren was die Plugins so veranstalten. Setzen sie einen Cookie? Müssen Nutzer Daten eingeben? Wird etwas analysiert? Wenn ja, dann ist davon auszugehen dass du dies in der Datenschutzerklärung angeben musst.
Fazit
Wie du siehst ist das Thema Datenschutz ein sehr komplexes und immer vom individuellen Einzelfall abhängig. Es ist daher empfehlenswert dass du Schritt für Schritt deine Plugins, durchgehst und dir anschließend eine Datenschutzerklärung generieren oder manuell erstellen lässt.
Ich hoffe dir mit diesem Beitrag geholfen zu haben und freue mich über deinen Kommentar (natürlich mit Hinweis in der Datenschutzerklärung 😉 )
Wichtiger Hinweis: Dieser Beitrag stellt keinerlei Rechtsberatung dar. Für rechtsverbindliche Aussagen konsultiere bitte einen Fachanwalt für Internetrecht! Es wird keine Haftung auf Vollständigkeit, Aktualität und Korrektheit übernommen!
Externe Links:
Shariff
google adsense
Double-Opt-In for Comments
Telemediengesetz im Wortlaut
Cookie-Hinweis gemäß google