Der Weg zum eigenen Blog ist nicht weit. Insbesondere bedienerfreundliche CMS-Systeme wie WordPress, die zudem noch bei Webhostern für wenig Geld und mit wenig Klicks aktiviert werden können, vereinfachen das Bloggerleben ungemein. Gleichwohl sind auch die rechtlichen und technischen Fallstricke nicht weit. Dieser Beitrag soll einen etwas detaillierteren Überblick über die telemedien- und datenschutzrechtlichen Anforderungen geben, denen Blogbetreiber regelmäßig und oft unbewusst ausgesetzt sind. Dieser Beitrag richtet sich dabei in erster Linie an gewerbliche Blogbetreiber und insbesondere an Betreiber von Unternehmensblogs.

1. Ein Blog braucht ein Impressum – dieses muss auch in der Mobilansicht hinreichend erkennbar sein

Dass Blogbetreiber nach § 5 TMG ein eigenes Impressum mit streng vorgegebenen Inhalten vorhalten müssen, ist für die meisten Blogbetreiber nichts Neues mehr. Insbesondere zur Gestaltung rechtskonformer Inhalte existieren eine Reihe guter Impressum-Generatoren im Internet. Ein Impressum muss jedoch auch hinreichend erkennbar, erreichbar und verfügbar sein. Insbesondere die Erkennbarkeit des Impressums bereitet Blogbetreibern in der Praxis aber immer wieder Probleme.

Grund hierfür ist eine kaum noch nachvollziehbare Rechtsprechung zu den Anforderungen der Erkennbarkeit einerseits und die Nutzung sogenannter responsive designs andererseits. Was bedeutet das genau? Ein Impressum muss nicht nur regelmäßig mit maximal zwei Klicks von jeder (Unter-)Seite aus erreichbar sein. Der Weg zum Impressum muss auch erkennbar, also auffindbar sein. Die höchstricherliche Rechtsprechung nimmt insoweit eine Erkennbarkeit grundsätzlich nur an, wenn das Impressum über Links erreichbar ist, die als „Impressum“ oder „Kontakt“ bezeichnet sind. Eine Bezeichnung des Links als „Info“ ist nach Ansicht der Gerichte schon nicht mehr ausreichend, um den nach §  5 TMG vorgeschriebenen „Allgemeinen Pflichtinformationen“ nachzukommen – man muss es nicht verstehen.

Vor dem Hintergrund einer solch restriktiven Rechtsprechung ist jedoch dringend davon abzuraten, anzunehmen, dass ein Impressum, welches nur über ein grafisch dargestelltes Menüsymbol aufgerufen werden kann, die Anforderungen an eine hinreichende Erkennbarkeit erfüllt. Insbesondere bei der Nutzung von sog. responsive designs – also Blogdarstellungen, die sich bestimmten Auflösungen anpassen, damit der Blog nicht nur auf Desktop-PCs, sondern auch auf Tablets und Smartphones gut aussieht – bestehen regelmäßig Probleme. Denn ob das gängige Menüsymbol von einer Rechtsprechung, die bereits mit der Bezeichnung „Info“ ihre Probleme hat, als hinreichend erkennbar angesehen wird, darf bezweifelt werden. Die Rechtsprechung  in diesem Bereich ist leider so praxisfremd, dass sie kaum noch vermittelbar ist. Eine Abkehr von der bisherigen restriktiven Rechtsprechung ist gerade im Mobilbereich zu fordern, lässt jedoch leider auf sich warten.

Am einfachsten ist es derzeit daher oftmals, das Impressum als entsprechend bezeichneten Link im Footer einer jeden Website des Blogs anzuzeigen und den Footer in jedem Design, unabhängig von der Browserauflösung, zu aktivieren. Vorsicht ist aber selbst dann noch geboten, z. B. bei der Nutzung sogenannter „infinite scroll designs“. Hierbei handelt es sich um Blogdesigns, die automatisch Inhalte auf der Startseite nachladen, wenn der Nutzer herunterscrollt. Ein im Footer untergebrachtes Impressum ist dann evtl. nur noch zu schwer erkenn- bzw. erreichbar.

Übrigens: Nach dem Motto „doppelt hält besser“ kann es zumindest nicht schaden, das Impressum sowohl im Footer als (dann trotz aller Unklarheiten zusätzlich) auch noch als weiteren Verweis unter dem eigentlichen Menü(-symol)  zu verlinken.

2. Ein Blog braucht eine gut positionierte Datenschutzerklärung

Neben einem Impressum benötigt ein Blog  – insbesondere ein Unternehmensblog – nach § 13 Abs. 1 TMG eine Datenschutzerklärung. Die Inhalte dieser Datenschutzerklärung müssen individuell auf den jeweiligen Blog abgestimmt sein. Grundsätzlich gilt, dass dem Nutzer jede Datenverarbeitung, die ein Seitenaufruf bzw. die Seitennutzung zur Folge hat, verständlich erklärt werden sollte. Mit dem Wirksamwerden der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 müssen zudem die gesteigerten Informationspflichten aus Art. 13 DSGVO beachtet werden. Hier lohnt es sich, die ersten beiden Absätze Punkt für Punkt durchzugehen und zu prüfen, welche Informationen erforderlich sind.

Problematisch ist auch bei der Datenschutzerklärung die Frage, wo diese wie positioniert werden muss. Vieles spricht dafür, auch für die Datenschutzerklärung – ähnlich wie beim Impressum – eine hinreichende Erkennbarkeit, Erreichbarkeit und Verfügbarkeit zu fordern. Allerdings gelten für die Datenschutzerklärung möglicherweise strengere Anforderungen an die Erreichbarkeit als beim Impressum. Denn reichte es beim Impressum noch aus, dass dieses von jeder Seite mit maximal zwei Klicks zu erreichen ist, fordert § 13 TMG eine Information des Nutzers in Form einer Datenschutzerklärung „zu Beginn des Nutzungsvorgangs“. Zwei Klicks sind nach diesem Wortlaut möglicherweise schon zu viel. Ein Klick scheint von der Rechtsprechung hingegen noch toleriert zu werden.

In der Blogpraxis hat sich auch zur Positionierung der Datenschutzerklärung die Nutzung eines Footers als einfache Lösung bewährt. Der dort untergebrachte Link zur Datenschutzerklärung sollte als „Datenschutzerklärung“ bzw. als „Datenschutz“ bezeichnet werden.

 3. Automatische Protokollierung der IP-Adresse von Kommentatoren deaktivieren

WordPress speichert bei aktivierter Kommentarfunktion in der Standardeinstellung neben den vom Kommentator eingegebenen Daten auch dessen IP-Adresse. Da die IP-Adresse zumindest von den datenschutzrechtlichen Aufsichtsbehörden als personenbezogenes Datum angesehen wird (was unter Juristen lange hoch umstritten war) kann die Zulässigkeit dieser Datenspeicherung rechtlich angezweifelt werden. Mittlerweile hat der EuGH richtigerweise entschieden, dass die IP-Adresse als personenbeziehbares Datum anzusehen ist. Selbst wenn die Ansicht vertreten würde, dass eine solche Datenspeicherung über § 100 TKG legitimiert sein könnte, so wäre diese nicht anlassbezogene Vorratsdatenspeicherung regelmäßig nicht länger als sieben Tage zulässig und müsste zudem in der Datenschutzerklärung Erwähnung finden.

Sofern ein Missbrauch der Kommentarfunktion nicht stattgefunden hat, sollte die automatische IP-Adressprotokollierung daher deaktiviert werden. Hierfür existieren sogar entsprechende Plugins, welche die Umsetzung erleichtern.

 4. Brute Force Schutz aktivieren und weitere Vorkehrungen treffen

WordPress ist eines der verbreitetsten Content Management Systeme und daher ein beliebtes Ziel für Angriffe. Diese Angriffe bestehen oftmals daraus, dass Angreifer versuchen, in das WordPress Backend bzw. Dashboard zu gelangen – bestenfalls mit Administratorrechten. Am einfachsten gelingt dies bei Blogs, die einerseits noch den Standardadminstratoraccount mit dem Benutzernamen „admin“ nutzen sowie ein schwaches Passwort verwenden und andererseits unzählige fehlerhafte  Loginversuche zulassen, ohne den Zugang zum Backend von WordPress ab einer gewissen Anzahl zu sperren. In diesem Fall ist es auch für wenig versierte Angreifer ein Leichtes, mit Hilfe von frei verfügbaren Tools automatisch unzählige Passwortkombinationen auszuprobieren. Ein siebenstelliges Passwort könnte auf diese Weise in kürzester Zeit ermittelt werden. Angreifer könnten dann nicht nur den Blog mit allen Nutzerdaten übernehmen, sondern die Inhalte auch löschen, unerwünschte Artikel und Fotos veröffentlichen, Schadsoftware installieren oder versuchen, Websitebesuchern diese unterzuschieben etc.

Wie hoch die Gefahr in der Praxis ist, zeigt auch der Umstand, dass insbesondere große Webhoster, die es Nutzern erlauben, WordPress mit wenigen Klicks zu installieren, bereits entsprechende Plugins vorinstallieren, die gegen diese sog. Brute-Force-Angriffe schützen sollen. Warum wird gerade diese Schutzmaßnahme getroffen? Weil in den vergangenen Jahren immer wieder massenhaft WordPress-Seiten Brute-Force-Angriffen zum Opfer gefallen sind. Es sollte daher grundsätzlich  jeder WordPress Blog durch ein Plugin gegen Brute-Force Angriffe geschützt werden. Dieses kann bei fehlerhaften Loginversuchen z. B. weitere Anmeldungen verzögern oder den Zugang zum Backend für eine bestimmte Zeit und bestimmte Nutzer sperren. Zudem sollten alle Standardzugänge geändert werden, also der Administratorenaccount „admin“ in einen weniger leicht zu erratenden Account umbenannt werden. Darüber hinaus sollte eine bestimmte Passwortkomplexität durch technische oder organisatorische Maßnahmen vorgegeben werden. Besonders schützenswerte Blogs können auch mit einer Zwei-Faktor-Authentisierung vor unbefugten Backendzugriffen geschützt werden. Mit diesen Maßnahmen wird die Übernahme des Blogs für Angreifer schon ein sehr gutes Stück schwieriger. Das bedeutet aber nicht, dass es nicht noch weitere Maßnahmen gibt, WordPress Blogs vor Angriffen zu schützen. Mehr Hinweise, auch zum Schutz vor anderen Angriffen, gibt es z. B. hier.

5. Sensible Übertragungen verschlüsseln (Umstellung auf https)

Um zu verhindern, dass Dritte unbefugt sensible Inhalte durch ausgefeiltere Angriffsmethoden erlangen, müssen zumindest die Übertragung von personenbezogenen Daten, Passwörtern sowie Datenübertragungen innerhalb des Backends verschlüsselt erfolgen. Hierzu kann für die entsprechenden Seiten z. B. der Zugang per http deaktiviert und stattdessen ausschließlich auf das https-Protokoll gesetzt werden (TLS 1.2). Und wenn man schon einmal dabei ist: Warum nicht einfach den gesamten Blog auf https umstellen? Denn dies hat zum einen den Vorteil, dass auch die Besucher des Blogs besser geschützt werden und andererseits erhöht der Betrieb einer Website, die auch über https zu erreichen ist, das Google-Ranking.

Achtung: Eine Website, die personenbezogene Daten erhebt, muss zwingend auf https umgestellt werden. Andernfalls liegt ein Verstoß gegen § 13 Abs. 7 TMG bzw. Art. 32 DSGVO vor.

Doch mit einer Umstellung des Zugriffs auf https ist es nicht unbedingt getan. Denn es bringt z. B. wenig, wenn die Zugangsdaten zum WordPress Backend zwar einerseits verschlüsselt übertragen werden, Dateizugriffe auf und Anmeldungen gegenüber dem Webserver mit entsprechenden Uploadprogrammen andererseits unverschlüsselt erfolgen. Hier empfiehlt es sich anstelle von FTP z. B. SFTP bzw. FTPS oder scp zu nutzen. Die entsprechenden Einstellmöglichkeiten bietet eigentlich jedes gängige Uploadprogramm. Das gleiche gilt für Kontaktformulare. Es ist schön und gut, wenn die Formulardaten über eine https-geschützte Seite eingegeben werden. Schlecht wäre es jedoch, wenn die Daten im Anschluss unverschlüsselt per E-Mail vom Webserver über das Internet versendet werden (z. B. auch hier ohne erzwungenes TLS).

6. Plugins, Widgets und Themes sorgfältig auswählen

Jedes Plugin, jedes Widget und sogar jedes Theme sollte vor der Installation kritisch betrachtet werden. Es sollte die Frage gestellt werden: Gefährdet dieses Plugin, Widget oder Theme die Sicherheit des gesamten Blogs – etwa weil es bekannte Sicherheitslücken enthält? Zudem sollte die Frage gestellt werden: Welche Datenverarbeitungen sind mit dem Plugin, Widget oder Theme verbunden und verstoßen diese möglicherweise gegen geltendes Datenschutzrecht? Insbesondere um Plugins und Widgets zumindest einigermaßen einschätzen zu können, empfiehlt es sich, häufig genutzte, gut kommentierte und regelmäßig aktualisierte Plugins und Widgets auszuwählen. Hier ergibt sich häufig ein erster Eindruck. Ob dieser ausreicht, muss jeder Blogbetreiber für sich selbst bewerten. Um die Risiken zu minimieren, empfiehlt sich in Unternehmen ggf. sogar die Einschaltung der IT- Abteilung sowie des Datenschutzbeauftragten im Rahmen der Plugin- und Widgetauswahl. Grundsätzlich gilt: Es sollten nur die Plugins und Widgets installiert werden, die unbedingt benötigt werden.

7. Verwendung von Social Media Plugins

Die unmittelbare Einbindung von Social Plugins, wie etwa dem Facebook Like Button, dem Twitter Button oder der Google+ Schaltfläche wird bereits seit Jahren von Datenschützern kritisiert und von Aufsichtsbehörden als unzulässig erachtet. Grund hierfür ist, dass die Einbindung des Social Plugins in die eigenen Webseiten dazu führt, dass bereits der Aufruf der Blogseite eine Verbindung mit der Social-Media Plattformen aufbaut und somit ein detailliertes Tracking möglich ist (näheres in diesem Artikel als PDF-Datei). Bedeutet das nun, dass Social Plugins auch nicht für die Nutzer angeboten werden können, die diese gerne nutzen möchten? Nein, das bedeutet es nicht. Denn mittlerweile stehen auch von Aufsichtsbehörden tolerierte bzw. akzeptierte Lösungen zur Verfügung, die dazu führen, dass Social Plugins nicht direkt mit Seitenaufruf geladen werden. So hat sich bereits seit Jahren die vom heise Verlag entwickelte sog. 2-Klick-Lösung etabliert. Diese bietet Unternehmen einerseits eine gute und praktikable Möglichkeit, Social Plugins in die eigenen Webseiten einzubinden, ohne dass bereits mit dem Aufruf der Webseite eine Datenübermittlung an die Anbieter der Social Media Dienste erfolgt. Eine Profilbildung durch Dritte ist somit ausgeschlossen. Andererseits werden auch den Besuchern, die gerne Social Plugins nutzen möchten, diese Möglichkeiten nicht verwehrt, sondern nach Aktivierung des Social Plugins ermöglicht. Die Einbindung der 2-Klick–Lösung ist insbesondere für Nutzer von WordPress besonders komfortabel zu realisieren, da hier einfach zu installierende Plugins existieren. Voraussetzung ist jedoch weiterhin eine transparente Darstellung des Verfahrens in der Datenschutzerklärung des Blogs.

Wem die Optik der 2-Klick-Lösung nicht gefällt bzw. wer gerne bereits mit Seitenaufruf die Information anzeigen möchte, wie verbreitet ein Blogbeitrag in den Sozialen Medien ist, also wie oft der Beitrag geteilt oder getwittert wurde, kann mittlerweile auch die ebenfalls vom heise Verlag entwickelte Shariff-Lösung nutzen. Diese unterbindet den direkten Datenaustausch zwischen dem Blogbesucher und dem Betreiber der Social Media Plattform, indem der eigene Webserver des Blogbetreibers die Anfragen vermittelt. Sofern die entsprechenden Buttons vom Besucher nicht angeklickt werden, unterbindet dies die Trackingmöglichkeiten des Social Media Anbieters. Auch zur Shariff-Lösung gibt es seit Kurzem erste WordPress Plugins, die funktionieren und mit deren Hilfe die Einbindung einfach möglich ist.

 8. Google Fonts, Google Scriptbibliotheken etc.

Obwohl insbesondere Social Plugins im Fokus von Aufsichtsbehörden stehen, können entsprechende Gedanken auch auf andere Sachverhalte übertragen werden. Oftmals setzen Standardeinstellungen von Themes bzw. Blogbetreiber auf die Nutzung der von Google Fonts zur Verfügung gestellten Schriftarten. Eine Nutzung dieser Schriftbibliotheken ist zwar einerseits relativ einfach – und daher für Webdesigner auch besonders verlockend. Andererseits führt die Einbindung der Schriftarten aus externen Bibliotheken dazu, dass jeder Aufruf des eigenen Blogs automatisch auch eine Verbindung zum Betreiber der Bibliothek auslöst. Ob und ggf. zu welchen Zwecken Betreiber von entsprechenden Schrift- bzw. Scriptbibliotheken diese Daten der Blogbesucher nutzen, ist unklar. Die Möglichkeiten, die hier zumindest theoretisch bestehen, sind immens. Blogbetreiber, die den Datenschutz ernst nehmen, sollten deshalb – soweit möglich – auf die Nutzung von externen Schrift- und Scriptbibliotheken verzichten. Dies gilt insbesondere deshalb, weil die externen Schriftarten einerseits grundsätzlich bei jedem Seitenaufruf neu geladen werden und andererseits einfache Alternativen bestehen, dies zu unterbinden – z. B. die gewünschten Schriftarten lokal auf dem eigenen Webspace zu hinterlegen. Sofern Themes standardmäßig externe Schriftbibliotheken nutzen und Probleme bestehen, die Themes entsprechend zu bereinigen, kann sich der Einsatz von entsprechenden Plugins anbieten, welche die Nutzung von Google Fonts unterdrücken. An dieser Stelle muss aber auch gesagt werden: Aufsichtsbehörden haben die Nutzung entsprechender Bibliotheken – zumindest nach unserer Kenntnis – noch nicht im Fokus.

 9. Gravatar

Sogar weit verbreitete und standardmäßig von WordPress angebotene Funktionen können kritisch hinterfragt werden. So kann z. B. die Frage gestellt werden, ob der Einsatz von Gravatar zur automatischen Anzeige von Nutzerprofilbildern  oder Avataren wirklich erforderlich ist. Denn die Nutzung von Gravatar führt dazu, dass bei jeder Kommentierung im Blog Daten an die entsprechenden Server von Gravatar gesendet werden. Sollte die Gravatarfunktion nicht unverzichtbar sein, sollte sie deaktiviert werden.

 10. Spam-Filter

Im Hinblick auf die Kommentarfunktion gibt es datenschutzrechtlich noch weitere Dinge zu beachten. Früher oder später wird sich vermutlich jedem Blogbetreiber, der WordPress und eine Kommentarfunktion verwendet, die Frage stellen, wie man sich gegen eingehenden Kommentarspam wehrt. Entsprechende Plugins, die eine wirksame Spam-Filterung versprechen, sind zwar schnell gefunden. Allerdings ist auch hier Vorsicht geboten. Denn oftmals nutzen solche Spam-Filter die IP-Adressen der jeweiligen Kommentatoren, um diese mit sog. Blacklists abzugleichen bzw. die IP-Adresse auf eine solche Blacklist zu setzen. Auch weitere, nicht zur Veröffentlichung bestimmte Daten – wie z. B. die E-Mail-Adresse – scheinen in diesem Rahmen verarbeitet und oftmals an Dritte übermittelt zu werden. Insbesondere zu Akismet – einem der gängigsten Spam-Filter für WordPress – gab es in der Vergangenheit eine rege datenschutzrechtliche Diskussion. Im Ergebnis scheint insofern derzeit davon ausgegangen zu werden, dass der Einsatz entsprechender Spam-Filter einer Einwilligung des Kommentierenden bedarf. Diskutiert wird und wurde insofern insbesondere, wie ausdrücklich eine solche Einwilligung gegeben werden muss. Bisher kaum thematisiert wurden allerdings die überaus strengen weiteren Voraussetzungen des § 13 Abs. 2 TMG, die bestehen, wenn eine Einwilligung von Nutzern elektronisch erklärt werden soll. Eine solche Einwilligung muss nämlich nicht nur bewusst und eindeutig erteilt, sondern auch protokolliert werden, der Inhalt der Einwilligung jederzeit abrufbar sein und der Nutzer diese mit Wirkung für die Zukunft widerrufen können und darüber im Vorfeld unterrichtet werden. Diese Voraussetzungen werden so kaum in der Praxis einzuhalten sein. Allerdings muss auch gesagt werden, dass die Gefahr, abgemahnt zu werden oder in den Fokus von Aufsichtsbehörden zu geraten, eher gering ist. Gleichwohl sollte geprüft werden, ob nicht auch lokal auf dem eigenen Server betriebene Schutzmaßnahmen gegen Kommentar-Spam ausreichen. So existieren zahlreiche Plugins, die z. B. vor der Veröffentlichung die Eingabe einer bildhaft dargestellten Zeichenfolge (Captcha), die Lösung einer Rechenaufgabe etc. erfordern und die lokal auf dem eigenen WordPress-Server ausgeführt werden. Sofern eine solche Lösung ausreicht, ist diese datenschutzrechtlich zu bevorzugen.

 11. Formularfelder

Ein etwas leichteres Thema ist der Umgang mit Formularfeldern. Hier sollten nur solche Felder als Pflichtfelder angegeben werden, die wirklich zwingend zur Nutzung des Angebots erforderlich sind. Wo möglich und nicht unbedingt erforderlich sollte auf einen Klarnamenzwang verzichtet werden (Art. 25 DSGVO). Allerdings folgt aus dem Angebot von Webformularen in der Praxis eigentlich fast immer die Notwendigkeit, die Website auf https umzustellen (vgl. Ziffer 5).

 12. Webtracking

Sofern Webrackingtools verwendet werden sollen, sind besondere datenschutzechtliche Vorkehrungen zu treffen. So sind Webtrackingtools seit längerem kein NoGo mehr, sondern können rechtskonform eingesetzt werden. Allerdings müssen die Rahmenbedingungen des Einsatzes genau geprüft werden. Insbesondere für die Trackingtools Google Analytics, Adobe Analytics und Piwik liegen Stellungnahmen von Aufsichtsbehörden zum datenschutzkonformen Einsatz vor. Hierzu ist die IP-Adresse vor dem Tracking zu anonymisieren, der Nutzer über die Datenverarbeitung in der Datenschutzerklärung zu informieren und zudem muss eine Opt-Out-Möglichkeit angeboten werden, die auch funktioniert – und zwar grundsätzlich auf jedem verwendeten Endgerät. Sofern das Tracking unter Einsatz von Dritten erfolgt – dies ist bei Google Analytics und Adobe Analytics standardmäßig und bei Piwik etwa dann der Fall, wenn Agenturen separat mit dem  Tracking beauftragt werden – und der Blog gewerblich betrieben wird, bedarf eines sehr formalen und schriftlichen Vertrags zur Auftragsdatenverarbeitung. Google hat sich auf diese deutsche Besonderheit eingestellt und bietet ein eigenes Vertragsmuster sowie einen Prozess an, der tatsächlich dafür sorgt, dass ein für Google Inc. unterschriebener Vertrag zurückkommt. Nähere Informationen zum beanstandungsfreien Einsatz von Google Analytics fanden sich bis vor kurzem auch auf den Webseiten der Hamburger Aufsichtsbehörde, sind wegen neuer Prüfungen jetzt jedoch nur noch über archive.org abrufbar. Nähere Informationen zu einer älteren Piwik Version finden sich auf der Website des ULD. Hinweise für den Einsatz von Adobe Analytics stellt das Bayerische Landesamt für Datenschutzaufsicht auf seiner Website bereit.

Nicht weiter vertieft werden an dieser Stelle die weiteren Möglichkeiten und Fragen, die etwa der Einsatz des neuen Google Universal Analytics (näheres in diesem Artikel als PDF-Datei) bieten bzw. aufwerfen (etwa in Fällen der Nutzung einer UserID, des geräteübergreifenden Trackings, der Anreicherung von On- mit Offlinedaten oder das „vertaggen“ von Seiten für Werbezwecke) oder weitere Formern des Trackings wie Retargeting, Conversion Tracking, die Nutzung demografischer Merkmale etc. Denn wer dieser Möglichkeiten nutzt, sollte sich bewusst sein, dass vorab eine gründliche Betrachtung der rechtlichen Zulässigkeit unter Zugrundelegung des konkreten Einsatzes erforderlich ist.

Die Datenschutzaufsichtsbehörden haben sich Ende April 2018 sehr kritisch gegenüber Webtrackingtools geäußert und fordern nun eine Einwilligung. Unsere kritische Anmerkung hierzu finden Sie in diesem Artikel. Nutzer von Matomo können ggf. auch auf eine Besuchermessung ohne Cookies umstellen (vgl. hier), wobei die Rechtmäßigkeit anhand der Position der Aufsichtsbehörden dann noch zu prüfen wäre. Nutzer von Google Analytics können evtl. Cookie-Banner nutzen, wobei diese u.a. eine echte Wahlmöglichkeit bieten sollten und das Tracking auch erst nach ausdrücklicher Einwilligung beginnen müsste – also nicht bereits durch die „Weiternutzung der Website“. Technische Lösungen bietet z. B. das kostenpflichtige Tool https://www.cookiebot.com/de/.

 13. News-Aggregatoren, Blogverzeichnisse und Zählpixel

Oftmals nutzen Blogbetreiber die Möglichkeiten von News-Aggregatoren und Blogverzeichnissen, um die Reichweite des eigenen Blogs zu erhöhen. Ein beliebter News-Aggregator ist etwa Google News, es existieren aber auch zahlreiche andere News-Aggregatoren, welche die Inhalte verschiedener Blogs auf einer zentralen Seite anzeigen. Diese Lösungen sind in der Regel datenschutzrechtlich unproblematisch, da für den Betrieb der Seite des News-Aggregators grundsätzlich der News-Aggregator allein verantwortlich ist.

Eine weitere beliebte Lösung stellt die Nutzung von Blogverzeichnissen dar. Diese Blogverzeichnisse ordnen verschiedene Blogs verschiedenen Themen zu und verfügen oftmals auch über ein Ranking, welches auf den Zugriffszahlen der jeweiligen Blogbeiträge basiert. Datenschutzrechtlich stellt sich hier die Frage, wie die Betreiber von Blogverzeichnissen die Zugriffszahlen der beteiligten Blogs bzw. der aufgerufenen Blogbeiträge messen. Die Antwort liegt in der Nutzung von Zählpixeln. Blogbetreiber müssen also jede Blogseite mit einem Pixel versehen, was dazu führt, dass jeder Seitenaufruf des eigenen Blogs eine kleine Grafik eines externen Anbieters nachlädt. Da auch hier ein Webtracking möglich ist, kann diese Vorgehensweise durchaus kritisch gesehen werden. Wir haben aus diesem Grund etwa darauf verzichtet, unseren Blog in Blogverzeichnissen zu listen. Zwar reagierten die Betreiber des von uns kontaktierten Blogverzeichnisses außerordentlich kooperativ auf unsere Anfrage und wir hatten nicht den Eindruck, dass die Zählpixel auch als Trackingpixel genutzt werden. Allerdings hat uns der Umstand, dass „nur ein Hit pro Visit und IP innerhalb einer halben Stunde“ gezählt wird, dazu veranlasst, uns aus Gründen der Datensparsamkeit gegen eine Einbindung des Zählpixels zu entscheiden. Zumal wir unseren Lesern gerne eine Opt-Out-Möglichkeit angeboten hätten und auch Unsicherheiten in Bezug auf die Verarbeitung der IP-Adresse sahen. Insgesamt konnten wir die Rechtmäßigkeit nicht eindeutig klären.

14. VG Wort

Ähnliche Fragestellungen stellen sich übrigens auch bei der Einbindung von Zählpixeln der VG Wort. Insbesondere im Jahr 2013 wurde die Zulässigkeit der Einbindung von Zählpixeln der VG Wort in den Medien intensiv diskutiert, nachdem die Einbindung der Zählpixel vom Berliner Datenschutzbeauftragten als datenschutzrechtlich problematisch bezeichnet wurde, wobei aber auch ausdrücklich darauf hingewiesen wurde, dass dies letztlich nur vom Bayerischen Landesamt für Datenschutz zu beurteilen ist. Dieses kam nach einer Pressemitteilung der VG Wort dann auch im Rahmen der konkreten Einzelfallprüfung zu dem Schluss, dass die Einbindung in zulässiger Weise erfolgen kann. Auch ein Opt-Out soll im konkreten Fall des VG Wort Zählpixels nicht erforderlich sein, wohl aber eine Information in der Datenschutzerklärung.

Insgesamt sollten Blogbetreiber in jedem Einzelfall die Nutzung von Zählpixeln und externen Messdiensten kritisch prüfen und diese nur einbinden, wenn die datenschutzrechtliche Zulässigkeit und die Voraussetzungen einer zulässigen Einbindung geklärt sind.

 15. Tamper Data und Ghostery

Es existieren zudem gute Möglichkeiten zu prüfen, welche Verbindungen zu externen Seiten ein Aufruf bzw. die Nutzung des eigenen Blogs auslöst. Hiermit kann geklärt werden, ob Verbindungen zu Facebook aufgebaut werden, um Social Plugins zu laden, ob eine Verbindung zu Google aufgebaut wird, um Schriftarten zu laden, ob das Gravatarnetzwerk bei Nutzung der Kommentarfunktion angesprochen wird, ob Zählpixel angesprochen werden und ob Datenverarbeitungen stattfinden, von denen der Blogbetreiber selbst gar nichts ahnt. Um sich einen Eindruck zu verschaffen, welche weiteren Verbindungen ein einfacher Aufruf des eigenen Blogs auslöst, hat sich der Einsatz des Programms Tamper Data bewährt. Mit Hilfe des leicht zu installierenden und leicht zu bedienenden Programms können externe Seitenaufrufe angezeigt werden, die der Aufruf des eigenen Blogs auslöst. Blogbetreiber können z. B. exemplarisch am Aufruf einer Blogseite jeden externen Verbindungsaufbau prüfen und kritisch dessen Notwendigkeit hinterfragen. An dieser Stelle sei angemerkt, dass es hierbei nicht darum gehen soll, die unsystematische Einbindung vereinzelter externer Grafiken oder Inhalte zu problematisieren. Problematisiert werden sollten allerdings alle Datenverarbeitungen, die Dritten ein umfassendes Tracking ermöglichen könnten. Eine einfache Grafik ist kein Problem. Ein systematisch eingebundenes Trackingpixel möglicherweise schon. Ein hilfreiches Tool ist in diesem Zusammenhang übrigens auch das Browserplugin Ghostery.

 16. Cookies

Auch die vom eigenen Blog gesetzten Cookies sollten kritisch hinterfragt und in der Datenschutzerklärung erwähnt werden. Besonderes Augenmerk muss dabei auf Cookies gelegt werden, die über die Dauer der Sitzung hinaus gespeichert werden bzw. die zu Trackingzwecken gesetzt werden (vgl. auch Punkt 12 zum Webtracking).

17. ADV-Vertrag mit dem Webhoster

Sofern der WordPress-Blog nicht auf eigenen Servern, sondern von Dritten gehostet wird und personenbezogene Daten betroffen sein können, die nicht öffentlich verfügbar gemacht werden, muss zumindest der gewerbliche Blogbetreiber mit dem Webhoster einen Vertrag zur Auftragsdatenverarbeitung schließen. Insbesondere größere Webhoster verfügen hier über Musterverträge zur Auftragsdatenverarbeitung, die auch mit Kunden geschlossen werden, die nur kleine Pakete beauftragen. Im Zeitalter der DSGVO reichen allerdings Verträge nach § 11 BDSG nicht mehr aus. Es werden Verträge nach Art. 28 DSGVO benötigt.

 18. Sicherheit des Webservers

Sofern Blogbetreiber den Webserver selbst betreiben, sollten sie sich auch Gedanken zur Sicherheit des Webservers machen. Sofern der Webserver durch Dienstleister betrieben wird, wird meistens in den o. g. Verträgen zur Auftragsdatenverarbeitung schon das Relevante geregelt bzw. es existieren zertifizierte Prozesse.

 19. Noch einmal die IP-Adresse

Blogbetreiber sollten sich zudem Gedanken machen, wie der Webserver, auf dem der Blog betrieben wird, mit den IP-Adressen der Besucher umgeht. Werden diese protokolliert? Wenn ja, wie lange und zu welchem Zweck? Insgesamt sollte eine Protokollierung der IP-Adresse im Regelfall vermieden werden, da momentan davon auszugehen ist, dass diese problematisch ist. Der EuGH hat sich, wie bereits oben unter Ziffer 3 dargestellt, für eine Personenbezogenheit der IP-Adresse ausgesprochen. Ausnahmen vom Verbot der Speicherung bestehen aber möglicherweise dann, wenn die IP-Adresse streng zweckgebunden zur Erkennung, Eingrenzung oder Beseitigung von Störungen oder Fehlern maximal sieben Tage gespeichert wird. Nach Ablauf von sieben Tagen müssen jedoch auch die zu diesem Zweck gespeicherten IP-Adressen grundsätzlich gelöscht oder anonymisiert werden. Auch diese Frage ist jedoch nicht abschließend geklärt, sondern liegt nach einer Odyssee durch alle Instanzen jetzt wieder vor Berliner Gerichten.

 20. WordPress, Themes, Widgets, Plugins updaten

Sofern der Blog erst einmal steht, sollte klar definiert werden, wer künftig für das Einspielen von Updates bzw. die Umsetzung von Änderungen verantwortlich und wer ggf. vorab zu beteiligen ist. In großen Unternehmen sind hier regelmäßig die Marketing- und die IT-Abteilung sowie (bei der Implementierung neuer Funktionen) auch der Datenschutzbeauftragte involviert.

 

Sonstige Themen

Dieser Beitrag ist schon sehr lang geraten. Trotzdem haben wir vieles nicht behandelt. Das Einwilligungserfordernis zur Veröffentlichung von Personenabbildungen nach § 22 KUG etwa, die Betreiberhaftung bzw. das Diensteanbieterprivileg des § 7 Abs. 2 TMG, weitere Hinweise des BSI zur Sicherheit von CMS Systemen, das OWASP Top 10 Projekt, die Einbettung von Videos sowie eine ganze Reihe anderer datenschutzrelevanter Themen. Auch bei jedem der dargestellten Themen wäre es grundsätzlich noch möglich gewesen, weiter ins Detail zu gehen. Daher insgesamt die Frage:

Ist etwas zu kurz gekommen?

Wenn Sie denken, dass etwas besonders Wichtiges zu kurz gekommen ist, schreiben Sie uns gerne einen Kommentar. Vielleicht nehmen wir das Thema dann in der nächsten Aktualisierung dieses Beitrags auf.

[Update: Dieser Beitrag wurde zuletzt am 10. Mai 2018 geupdated. Es wurden einige Gerichtsentscheidungen eingepflegt (EuGH zur Personenbezogenheit der IP-Adresse), es wurde die aktuelle Meinung der Datenschutzkonferenz zum Einwilligungserfordernis bei Webtrackingmethoden aufgegriffen, die Pflicht zur Umstellung auf https wurde noch deutlicher hervorgehoben und einige Stellen wurden auf die DSGVO angepasst. Das Update zu Accelerated Mobile Pages wurde wieder entfernt.]