Der Weg zum eigenen Blog ist nicht weit. Insbesondere bedienerfreundliche CMS-Systeme wie WordPress, die zudem noch bei Webhostern für wenig Geld und mit wenig Klicks aktiviert werden können, vereinfachen das Bloggerleben ungemein. Gleichwohl sind auch die rechtlichen und technischen Fallstricke nicht weit. Dieser Beitrag soll einen etwas detaillierteren Überblick über die telemedien- und datenschutzrechtlichen Anforderungen geben, denen Blogbetreiber regelmäßig und oft unbewusst ausgesetzt sind. Dieser Beitrag richtet sich dabei in erster Linie an gewerbliche Blogbetreiber und insbesondere an Betreiber von Unternehmensblogs.
1. Ein Blog braucht ein Impressum – dieses muss auch in der Mobilansicht hinreichend erkennbar sein
Dass Blogbetreiber nach § 5 TMG ein eigenes Impressum mit streng vorgegebenen Inhalten vorhalten müssen, ist für die meisten Blogbetreiber nichts Neues mehr. Insbesondere zur Gestaltung rechtskonformer Inhalte existieren eine Reihe guter Impressum-Generatoren im Internet. Ein Impressum muss jedoch auch hinreichend erkennbar, erreichbar und verfügbar sein. Insbesondere die Erkennbarkeit des Impressums bereitet Blogbetreibern in der Praxis aber immer wieder Probleme.
Grund hierfür ist eine kaum noch nachvollziehbare Rechtsprechung zu den Anforderungen der Erkennbarkeit einerseits und die Nutzung sogenannter responsive designs andererseits. Was bedeutet das genau? Ein Impressum muss nicht nur regelmäßig mit maximal zwei Klicks von jeder (Unter-)Seite aus erreichbar sein. Der Weg zum Impressum muss auch erkennbar, also auffindbar sein. Die höchstricherliche Rechtsprechung nimmt insoweit eine Erkennbarkeit grundsätzlich nur an, wenn das Impressum über Links erreichbar ist, die als „Impressum“ oder „Kontakt“ bezeichnet sind. Eine Bezeichnung des Links als „Info“ ist nach Ansicht der Gerichte schon nicht mehr ausreichend, um den nach § 5 TMG vorgeschriebenen „Allgemeinen Pflichtinformationen“ nachzukommen – man muss es nicht verstehen.
Vor dem Hintergrund einer solch restriktiven Rechtsprechung ist jedoch dringend davon abzuraten, anzunehmen, dass ein Impressum, welches nur über ein grafisch dargestelltes Menüsymbol aufgerufen werden kann, die Anforderungen an eine hinreichende Erkennbarkeit erfüllt. Insbesondere bei der Nutzung von sog. responsive designs – also Blogdarstellungen, die sich bestimmten Auflösungen anpassen, damit der Blog nicht nur auf Desktop-PCs, sondern auch auf Tablets und Smartphones gut aussieht – bestehen regelmäßig Probleme. Denn ob das gängige Menüsymbol von einer Rechtsprechung, die bereits mit der Bezeichnung „Info“ ihre Probleme hat, als hinreichend erkennbar angesehen wird, darf bezweifelt werden. Die Rechtsprechung in diesem Bereich ist leider so praxisfremd, dass sie kaum noch vermittelbar ist. Eine Abkehr von der bisherigen restriktiven Rechtsprechung ist gerade im Mobilbereich zu fordern, lässt jedoch leider auf sich warten.
Am einfachsten ist es derzeit daher oftmals, das Impressum als entsprechend bezeichneten Link im Footer einer jeden Website des Blogs anzuzeigen und den Footer in jedem Design, unabhängig von der Browserauflösung, zu aktivieren. Vorsicht ist aber selbst dann noch geboten, z. B. bei der Nutzung sogenannter „infinite scroll designs“. Hierbei handelt es sich um Blogdesigns, die automatisch Inhalte auf der Startseite nachladen, wenn der Nutzer herunterscrollt. Ein im Footer untergebrachtes Impressum ist dann evtl. nur noch zu schwer erkenn- bzw. erreichbar.
Übrigens: Nach dem Motto „doppelt hält besser“ kann es zumindest nicht schaden, das Impressum sowohl im Footer als (dann trotz aller Unklarheiten zusätzlich) auch noch als weiteren Verweis unter dem eigentlichen Menü(-symol) zu verlinken.
2. Ein Blog braucht eine gut positionierte Datenschutzerklärung
Neben einem Impressum benötigt ein Blog – insbesondere ein Unternehmensblog – nach § 13 Abs. 1 TMG eine Datenschutzerklärung. Die Inhalte dieser Datenschutzerklärung müssen individuell auf den jeweiligen Blog abgestimmt sein. Grundsätzlich gilt, dass dem Nutzer jede Datenverarbeitung, die ein Seitenaufruf bzw. die Seitennutzung zur Folge hat, verständlich erklärt werden sollte. Mit dem Wirksamwerden der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 müssen zudem die gesteigerten Informationspflichten aus Art. 13 DSGVO beachtet werden. Hier lohnt es sich, die ersten beiden Absätze Punkt für Punkt durchzugehen und zu prüfen, welche Informationen erforderlich sind.
Problematisch ist auch bei der Datenschutzerklärung die Frage, wo diese wie positioniert werden muss. Vieles spricht dafür, auch für die Datenschutzerklärung – ähnlich wie beim Impressum – eine hinreichende Erkennbarkeit, Erreichbarkeit und Verfügbarkeit zu fordern. Allerdings gelten für die Datenschutzerklärung möglicherweise strengere Anforderungen an die Erreichbarkeit als beim Impressum. Denn reichte es beim Impressum noch aus, dass dieses von jeder Seite mit maximal zwei Klicks zu erreichen ist, fordert § 13 TMG eine Information des Nutzers in Form einer Datenschutzerklärung „zu Beginn des Nutzungsvorgangs“. Zwei Klicks sind nach diesem Wortlaut möglicherweise schon zu viel. Ein Klick scheint von der Rechtsprechung hingegen noch toleriert zu werden.
In der Blogpraxis hat sich auch zur Positionierung der Datenschutzerklärung die Nutzung eines Footers als einfache Lösung bewährt. Der dort untergebrachte Link zur Datenschutzerklärung sollte als „Datenschutzerklärung“ bzw. als „Datenschutz“ bezeichnet werden.
3. Automatische Protokollierung der IP-Adresse von Kommentatoren deaktivieren
WordPress speichert bei aktivierter Kommentarfunktion in der Standardeinstellung neben den vom Kommentator eingegebenen Daten auch dessen IP-Adresse. Da die IP-Adresse zumindest von den datenschutzrechtlichen Aufsichtsbehörden als personenbezogenes Datum angesehen wird (was unter Juristen lange hoch umstritten war) kann die Zulässigkeit dieser Datenspeicherung rechtlich angezweifelt werden. Mittlerweile hat der EuGH richtigerweise entschieden, dass die IP-Adresse als personenbeziehbares Datum anzusehen ist. Selbst wenn die Ansicht vertreten würde, dass eine solche Datenspeicherung über § 100 TKG legitimiert sein könnte, so wäre diese nicht anlassbezogene Vorratsdatenspeicherung regelmäßig nicht länger als sieben Tage zulässig und müsste zudem in der Datenschutzerklärung Erwähnung finden.
Sofern ein Missbrauch der Kommentarfunktion nicht stattgefunden hat, sollte die automatische IP-Adressprotokollierung daher deaktiviert werden. Hierfür existieren sogar entsprechende Plugins, welche die Umsetzung erleichtern.
4. Brute Force Schutz aktivieren und weitere Vorkehrungen treffen
WordPress ist eines der verbreitetsten Content Management Systeme und daher ein beliebtes Ziel für Angriffe. Diese Angriffe bestehen oftmals daraus, dass Angreifer versuchen, in das WordPress Backend bzw. Dashboard zu gelangen – bestenfalls mit Administratorrechten. Am einfachsten gelingt dies bei Blogs, die einerseits noch den Standardadminstratoraccount mit dem Benutzernamen „admin“ nutzen sowie ein schwaches Passwort verwenden und andererseits unzählige fehlerhafte Loginversuche zulassen, ohne den Zugang zum Backend von WordPress ab einer gewissen Anzahl zu sperren. In diesem Fall ist es auch für wenig versierte Angreifer ein Leichtes, mit Hilfe von frei verfügbaren Tools automatisch unzählige Passwortkombinationen auszuprobieren. Ein siebenstelliges Passwort könnte auf diese Weise in kürzester Zeit ermittelt werden. Angreifer könnten dann nicht nur den Blog mit allen Nutzerdaten übernehmen, sondern die Inhalte auch löschen, unerwünschte Artikel und Fotos veröffentlichen, Schadsoftware installieren oder versuchen, Websitebesuchern diese unterzuschieben etc.
Wie hoch die Gefahr in der Praxis ist, zeigt auch der Umstand, dass insbesondere große Webhoster, die es Nutzern erlauben, WordPress mit wenigen Klicks zu installieren, bereits entsprechende Plugins vorinstallieren, die gegen diese sog. Brute-Force-Angriffe schützen sollen. Warum wird gerade diese Schutzmaßnahme getroffen? Weil in den vergangenen Jahren immer wieder massenhaft WordPress-Seiten Brute-Force-Angriffen zum Opfer gefallen sind. Es sollte daher grundsätzlich jeder WordPress Blog durch ein Plugin gegen Brute-Force Angriffe geschützt werden. Dieses kann bei fehlerhaften Loginversuchen z. B. weitere Anmeldungen verzögern oder den Zugang zum Backend für eine bestimmte Zeit und bestimmte Nutzer sperren. Zudem sollten alle Standardzugänge geändert werden, also der Administratorenaccount „admin“ in einen weniger leicht zu erratenden Account umbenannt werden. Darüber hinaus sollte eine bestimmte Passwortkomplexität durch technische oder organisatorische Maßnahmen vorgegeben werden. Besonders schützenswerte Blogs können auch mit einer Zwei-Faktor-Authentisierung vor unbefugten Backendzugriffen geschützt werden. Mit diesen Maßnahmen wird die Übernahme des Blogs für Angreifer schon ein sehr gutes Stück schwieriger. Das bedeutet aber nicht, dass es nicht noch weitere Maßnahmen gibt, WordPress Blogs vor Angriffen zu schützen. Mehr Hinweise, auch zum Schutz vor anderen Angriffen, gibt es z. B. hier.
5. Sensible Übertragungen verschlüsseln (Umstellung auf https)
Um zu verhindern, dass Dritte unbefugt sensible Inhalte durch ausgefeiltere Angriffsmethoden erlangen, müssen zumindest die Übertragung von personenbezogenen Daten, Passwörtern sowie Datenübertragungen innerhalb des Backends verschlüsselt erfolgen. Hierzu kann für die entsprechenden Seiten z. B. der Zugang per http deaktiviert und stattdessen ausschließlich auf das https-Protokoll gesetzt werden (TLS 1.2). Und wenn man schon einmal dabei ist: Warum nicht einfach den gesamten Blog auf https umstellen? Denn dies hat zum einen den Vorteil, dass auch die Besucher des Blogs besser geschützt werden und andererseits erhöht der Betrieb einer Website, die auch über https zu erreichen ist, das Google-Ranking.
Achtung: Eine Website, die personenbezogene Daten erhebt, muss zwingend auf https umgestellt werden. Andernfalls liegt ein Verstoß gegen § 13 Abs. 7 TMG bzw. Art. 32 DSGVO vor.
Doch mit einer Umstellung des Zugriffs auf https ist es nicht unbedingt getan. Denn es bringt z. B. wenig, wenn die Zugangsdaten zum WordPress Backend zwar einerseits verschlüsselt übertragen werden, Dateizugriffe auf und Anmeldungen gegenüber dem Webserver mit entsprechenden Uploadprogrammen andererseits unverschlüsselt erfolgen. Hier empfiehlt es sich anstelle von FTP z. B. SFTP bzw. FTPS oder scp zu nutzen. Die entsprechenden Einstellmöglichkeiten bietet eigentlich jedes gängige Uploadprogramm. Das gleiche gilt für Kontaktformulare. Es ist schön und gut, wenn die Formulardaten über eine https-geschützte Seite eingegeben werden. Schlecht wäre es jedoch, wenn die Daten im Anschluss unverschlüsselt per E-Mail vom Webserver über das Internet versendet werden (z. B. auch hier ohne erzwungenes TLS).
6. Plugins, Widgets und Themes sorgfältig auswählen
Jedes Plugin, jedes Widget und sogar jedes Theme sollte vor der Installation kritisch betrachtet werden. Es sollte die Frage gestellt werden: Gefährdet dieses Plugin, Widget oder Theme die Sicherheit des gesamten Blogs – etwa weil es bekannte Sicherheitslücken enthält? Zudem sollte die Frage gestellt werden: Welche Datenverarbeitungen sind mit dem Plugin, Widget oder Theme verbunden und verstoßen diese möglicherweise gegen geltendes Datenschutzrecht? Insbesondere um Plugins und Widgets zumindest einigermaßen einschätzen zu können, empfiehlt es sich, häufig genutzte, gut kommentierte und regelmäßig aktualisierte Plugins und Widgets auszuwählen. Hier ergibt sich häufig ein erster Eindruck. Ob dieser ausreicht, muss jeder Blogbetreiber für sich selbst bewerten. Um die Risiken zu minimieren, empfiehlt sich in Unternehmen ggf. sogar die Einschaltung der IT- Abteilung sowie des Datenschutzbeauftragten im Rahmen der Plugin- und Widgetauswahl. Grundsätzlich gilt: Es sollten nur die Plugins und Widgets installiert werden, die unbedingt benötigt werden.
7. Verwendung von Social Media Plugins
Die unmittelbare Einbindung von Social Plugins, wie etwa dem Facebook Like Button, dem Twitter Button oder der Google+ Schaltfläche wird bereits seit Jahren von Datenschützern kritisiert und von Aufsichtsbehörden als unzulässig erachtet. Grund hierfür ist, dass die Einbindung des Social Plugins in die eigenen Webseiten dazu führt, dass bereits der Aufruf der Blogseite eine Verbindung mit der Social-Media Plattformen aufbaut und somit ein detailliertes Tracking möglich ist (näheres in diesem Artikel als PDF-Datei). Bedeutet das nun, dass Social Plugins auch nicht für die Nutzer angeboten werden können, die diese gerne nutzen möchten? Nein, das bedeutet es nicht. Denn mittlerweile stehen auch von Aufsichtsbehörden tolerierte bzw. akzeptierte Lösungen zur Verfügung, die dazu führen, dass Social Plugins nicht direkt mit Seitenaufruf geladen werden. So hat sich bereits seit Jahren die vom heise Verlag entwickelte sog. 2-Klick-Lösung etabliert. Diese bietet Unternehmen einerseits eine gute und praktikable Möglichkeit, Social Plugins in die eigenen Webseiten einzubinden, ohne dass bereits mit dem Aufruf der Webseite eine Datenübermittlung an die Anbieter der Social Media Dienste erfolgt. Eine Profilbildung durch Dritte ist somit ausgeschlossen. Andererseits werden auch den Besuchern, die gerne Social Plugins nutzen möchten, diese Möglichkeiten nicht verwehrt, sondern nach Aktivierung des Social Plugins ermöglicht. Die Einbindung der 2-Klick–Lösung ist insbesondere für Nutzer von WordPress besonders komfortabel zu realisieren, da hier einfach zu installierende Plugins existieren. Voraussetzung ist jedoch weiterhin eine transparente Darstellung des Verfahrens in der Datenschutzerklärung des Blogs.
Wem die Optik der 2-Klick-Lösung nicht gefällt bzw. wer gerne bereits mit Seitenaufruf die Information anzeigen möchte, wie verbreitet ein Blogbeitrag in den Sozialen Medien ist, also wie oft der Beitrag geteilt oder getwittert wurde, kann mittlerweile auch die ebenfalls vom heise Verlag entwickelte Shariff-Lösung nutzen. Diese unterbindet den direkten Datenaustausch zwischen dem Blogbesucher und dem Betreiber der Social Media Plattform, indem der eigene Webserver des Blogbetreibers die Anfragen vermittelt. Sofern die entsprechenden Buttons vom Besucher nicht angeklickt werden, unterbindet dies die Trackingmöglichkeiten des Social Media Anbieters. Auch zur Shariff-Lösung gibt es seit Kurzem erste WordPress Plugins, die funktionieren und mit deren Hilfe die Einbindung einfach möglich ist.
8. Google Fonts, Google Scriptbibliotheken etc.
Obwohl insbesondere Social Plugins im Fokus von Aufsichtsbehörden stehen, können entsprechende Gedanken auch auf andere Sachverhalte übertragen werden. Oftmals setzen Standardeinstellungen von Themes bzw. Blogbetreiber auf die Nutzung der von Google Fonts zur Verfügung gestellten Schriftarten. Eine Nutzung dieser Schriftbibliotheken ist zwar einerseits relativ einfach – und daher für Webdesigner auch besonders verlockend. Andererseits führt die Einbindung der Schriftarten aus externen Bibliotheken dazu, dass jeder Aufruf des eigenen Blogs automatisch auch eine Verbindung zum Betreiber der Bibliothek auslöst. Ob und ggf. zu welchen Zwecken Betreiber von entsprechenden Schrift- bzw. Scriptbibliotheken diese Daten der Blogbesucher nutzen, ist unklar. Die Möglichkeiten, die hier zumindest theoretisch bestehen, sind immens. Blogbetreiber, die den Datenschutz ernst nehmen, sollten deshalb – soweit möglich – auf die Nutzung von externen Schrift- und Scriptbibliotheken verzichten. Dies gilt insbesondere deshalb, weil die externen Schriftarten einerseits grundsätzlich bei jedem Seitenaufruf neu geladen werden und andererseits einfache Alternativen bestehen, dies zu unterbinden – z. B. die gewünschten Schriftarten lokal auf dem eigenen Webspace zu hinterlegen. Sofern Themes standardmäßig externe Schriftbibliotheken nutzen und Probleme bestehen, die Themes entsprechend zu bereinigen, kann sich der Einsatz von entsprechenden Plugins anbieten, welche die Nutzung von Google Fonts unterdrücken. An dieser Stelle muss aber auch gesagt werden: Aufsichtsbehörden haben die Nutzung entsprechender Bibliotheken – zumindest nach unserer Kenntnis – noch nicht im Fokus.
9. Gravatar
Sogar weit verbreitete und standardmäßig von WordPress angebotene Funktionen können kritisch hinterfragt werden. So kann z. B. die Frage gestellt werden, ob der Einsatz von Gravatar zur automatischen Anzeige von Nutzerprofilbildern oder Avataren wirklich erforderlich ist. Denn die Nutzung von Gravatar führt dazu, dass bei jeder Kommentierung im Blog Daten an die entsprechenden Server von Gravatar gesendet werden. Sollte die Gravatarfunktion nicht unverzichtbar sein, sollte sie deaktiviert werden.
10. Spam-Filter
Im Hinblick auf die Kommentarfunktion gibt es datenschutzrechtlich noch weitere Dinge zu beachten. Früher oder später wird sich vermutlich jedem Blogbetreiber, der WordPress und eine Kommentarfunktion verwendet, die Frage stellen, wie man sich gegen eingehenden Kommentarspam wehrt. Entsprechende Plugins, die eine wirksame Spam-Filterung versprechen, sind zwar schnell gefunden. Allerdings ist auch hier Vorsicht geboten. Denn oftmals nutzen solche Spam-Filter die IP-Adressen der jeweiligen Kommentatoren, um diese mit sog. Blacklists abzugleichen bzw. die IP-Adresse auf eine solche Blacklist zu setzen. Auch weitere, nicht zur Veröffentlichung bestimmte Daten – wie z. B. die E-Mail-Adresse – scheinen in diesem Rahmen verarbeitet und oftmals an Dritte übermittelt zu werden. Insbesondere zu Akismet – einem der gängigsten Spam-Filter für WordPress – gab es in der Vergangenheit eine rege datenschutzrechtliche Diskussion. Im Ergebnis scheint insofern derzeit davon ausgegangen zu werden, dass der Einsatz entsprechender Spam-Filter einer Einwilligung des Kommentierenden bedarf. Diskutiert wird und wurde insofern insbesondere, wie ausdrücklich eine solche Einwilligung gegeben werden muss. Bisher kaum thematisiert wurden allerdings die überaus strengen weiteren Voraussetzungen des § 13 Abs. 2 TMG, die bestehen, wenn eine Einwilligung von Nutzern elektronisch erklärt werden soll. Eine solche Einwilligung muss nämlich nicht nur bewusst und eindeutig erteilt, sondern auch protokolliert werden, der Inhalt der Einwilligung jederzeit abrufbar sein und der Nutzer diese mit Wirkung für die Zukunft widerrufen können und darüber im Vorfeld unterrichtet werden. Diese Voraussetzungen werden so kaum in der Praxis einzuhalten sein. Allerdings muss auch gesagt werden, dass die Gefahr, abgemahnt zu werden oder in den Fokus von Aufsichtsbehörden zu geraten, eher gering ist. Gleichwohl sollte geprüft werden, ob nicht auch lokal auf dem eigenen Server betriebene Schutzmaßnahmen gegen Kommentar-Spam ausreichen. So existieren zahlreiche Plugins, die z. B. vor der Veröffentlichung die Eingabe einer bildhaft dargestellten Zeichenfolge (Captcha), die Lösung einer Rechenaufgabe etc. erfordern und die lokal auf dem eigenen WordPress-Server ausgeführt werden. Sofern eine solche Lösung ausreicht, ist diese datenschutzrechtlich zu bevorzugen.
11. Formularfelder
Ein etwas leichteres Thema ist der Umgang mit Formularfeldern. Hier sollten nur solche Felder als Pflichtfelder angegeben werden, die wirklich zwingend zur Nutzung des Angebots erforderlich sind. Wo möglich und nicht unbedingt erforderlich sollte auf einen Klarnamenzwang verzichtet werden (Art. 25 DSGVO). Allerdings folgt aus dem Angebot von Webformularen in der Praxis eigentlich fast immer die Notwendigkeit, die Website auf https umzustellen (vgl. Ziffer 5).
12. Webtracking
Sofern Webrackingtools verwendet werden sollen, sind besondere datenschutzechtliche Vorkehrungen zu treffen. So sind Webtrackingtools seit längerem kein NoGo mehr, sondern können rechtskonform eingesetzt werden. Allerdings müssen die Rahmenbedingungen des Einsatzes genau geprüft werden. Insbesondere für die Trackingtools Google Analytics, Adobe Analytics und Piwik liegen Stellungnahmen von Aufsichtsbehörden zum datenschutzkonformen Einsatz vor. Hierzu ist die IP-Adresse vor dem Tracking zu anonymisieren, der Nutzer über die Datenverarbeitung in der Datenschutzerklärung zu informieren und zudem muss eine Opt-Out-Möglichkeit angeboten werden, die auch funktioniert – und zwar grundsätzlich auf jedem verwendeten Endgerät. Sofern das Tracking unter Einsatz von Dritten erfolgt – dies ist bei Google Analytics und Adobe Analytics standardmäßig und bei Piwik etwa dann der Fall, wenn Agenturen separat mit dem Tracking beauftragt werden – und der Blog gewerblich betrieben wird, bedarf eines sehr formalen und schriftlichen Vertrags zur Auftragsdatenverarbeitung. Google hat sich auf diese deutsche Besonderheit eingestellt und bietet ein eigenes Vertragsmuster sowie einen Prozess an, der tatsächlich dafür sorgt, dass ein für Google Inc. unterschriebener Vertrag zurückkommt. Nähere Informationen zum beanstandungsfreien Einsatz von Google Analytics fanden sich bis vor kurzem auch auf den Webseiten der Hamburger Aufsichtsbehörde, sind wegen neuer Prüfungen jetzt jedoch nur noch über archive.org abrufbar. Nähere Informationen zu einer älteren Piwik Version finden sich auf der Website des ULD. Hinweise für den Einsatz von Adobe Analytics stellt das Bayerische Landesamt für Datenschutzaufsicht auf seiner Website bereit.
Nicht weiter vertieft werden an dieser Stelle die weiteren Möglichkeiten und Fragen, die etwa der Einsatz des neuen Google Universal Analytics (näheres in diesem Artikel als PDF-Datei) bieten bzw. aufwerfen (etwa in Fällen der Nutzung einer UserID, des geräteübergreifenden Trackings, der Anreicherung von On- mit Offlinedaten oder das „vertaggen“ von Seiten für Werbezwecke) oder weitere Formern des Trackings wie Retargeting, Conversion Tracking, die Nutzung demografischer Merkmale etc. Denn wer dieser Möglichkeiten nutzt, sollte sich bewusst sein, dass vorab eine gründliche Betrachtung der rechtlichen Zulässigkeit unter Zugrundelegung des konkreten Einsatzes erforderlich ist.
Die Datenschutzaufsichtsbehörden haben sich Ende April 2018 sehr kritisch gegenüber Webtrackingtools geäußert und fordern nun eine Einwilligung. Unsere kritische Anmerkung hierzu finden Sie in diesem Artikel. Nutzer von Matomo können ggf. auch auf eine Besuchermessung ohne Cookies umstellen (vgl. hier), wobei die Rechtmäßigkeit anhand der Position der Aufsichtsbehörden dann noch zu prüfen wäre. Nutzer von Google Analytics können evtl. Cookie-Banner nutzen, wobei diese u.a. eine echte Wahlmöglichkeit bieten sollten und das Tracking auch erst nach ausdrücklicher Einwilligung beginnen müsste – also nicht bereits durch die „Weiternutzung der Website“. Technische Lösungen bietet z. B. das kostenpflichtige Tool https://www.cookiebot.com/de/.
13. News-Aggregatoren, Blogverzeichnisse und Zählpixel
Oftmals nutzen Blogbetreiber die Möglichkeiten von News-Aggregatoren und Blogverzeichnissen, um die Reichweite des eigenen Blogs zu erhöhen. Ein beliebter News-Aggregator ist etwa Google News, es existieren aber auch zahlreiche andere News-Aggregatoren, welche die Inhalte verschiedener Blogs auf einer zentralen Seite anzeigen. Diese Lösungen sind in der Regel datenschutzrechtlich unproblematisch, da für den Betrieb der Seite des News-Aggregators grundsätzlich der News-Aggregator allein verantwortlich ist.
Eine weitere beliebte Lösung stellt die Nutzung von Blogverzeichnissen dar. Diese Blogverzeichnisse ordnen verschiedene Blogs verschiedenen Themen zu und verfügen oftmals auch über ein Ranking, welches auf den Zugriffszahlen der jeweiligen Blogbeiträge basiert. Datenschutzrechtlich stellt sich hier die Frage, wie die Betreiber von Blogverzeichnissen die Zugriffszahlen der beteiligten Blogs bzw. der aufgerufenen Blogbeiträge messen. Die Antwort liegt in der Nutzung von Zählpixeln. Blogbetreiber müssen also jede Blogseite mit einem Pixel versehen, was dazu führt, dass jeder Seitenaufruf des eigenen Blogs eine kleine Grafik eines externen Anbieters nachlädt. Da auch hier ein Webtracking möglich ist, kann diese Vorgehensweise durchaus kritisch gesehen werden. Wir haben aus diesem Grund etwa darauf verzichtet, unseren Blog in Blogverzeichnissen zu listen. Zwar reagierten die Betreiber des von uns kontaktierten Blogverzeichnisses außerordentlich kooperativ auf unsere Anfrage und wir hatten nicht den Eindruck, dass die Zählpixel auch als Trackingpixel genutzt werden. Allerdings hat uns der Umstand, dass „nur ein Hit pro Visit und IP innerhalb einer halben Stunde“ gezählt wird, dazu veranlasst, uns aus Gründen der Datensparsamkeit gegen eine Einbindung des Zählpixels zu entscheiden. Zumal wir unseren Lesern gerne eine Opt-Out-Möglichkeit angeboten hätten und auch Unsicherheiten in Bezug auf die Verarbeitung der IP-Adresse sahen. Insgesamt konnten wir die Rechtmäßigkeit nicht eindeutig klären.
14. VG Wort
Ähnliche Fragestellungen stellen sich übrigens auch bei der Einbindung von Zählpixeln der VG Wort. Insbesondere im Jahr 2013 wurde die Zulässigkeit der Einbindung von Zählpixeln der VG Wort in den Medien intensiv diskutiert, nachdem die Einbindung der Zählpixel vom Berliner Datenschutzbeauftragten als datenschutzrechtlich problematisch bezeichnet wurde, wobei aber auch ausdrücklich darauf hingewiesen wurde, dass dies letztlich nur vom Bayerischen Landesamt für Datenschutz zu beurteilen ist. Dieses kam nach einer Pressemitteilung der VG Wort dann auch im Rahmen der konkreten Einzelfallprüfung zu dem Schluss, dass die Einbindung in zulässiger Weise erfolgen kann. Auch ein Opt-Out soll im konkreten Fall des VG Wort Zählpixels nicht erforderlich sein, wohl aber eine Information in der Datenschutzerklärung.
Insgesamt sollten Blogbetreiber in jedem Einzelfall die Nutzung von Zählpixeln und externen Messdiensten kritisch prüfen und diese nur einbinden, wenn die datenschutzrechtliche Zulässigkeit und die Voraussetzungen einer zulässigen Einbindung geklärt sind.
15. Tamper Data und Ghostery
Es existieren zudem gute Möglichkeiten zu prüfen, welche Verbindungen zu externen Seiten ein Aufruf bzw. die Nutzung des eigenen Blogs auslöst. Hiermit kann geklärt werden, ob Verbindungen zu Facebook aufgebaut werden, um Social Plugins zu laden, ob eine Verbindung zu Google aufgebaut wird, um Schriftarten zu laden, ob das Gravatarnetzwerk bei Nutzung der Kommentarfunktion angesprochen wird, ob Zählpixel angesprochen werden und ob Datenverarbeitungen stattfinden, von denen der Blogbetreiber selbst gar nichts ahnt. Um sich einen Eindruck zu verschaffen, welche weiteren Verbindungen ein einfacher Aufruf des eigenen Blogs auslöst, hat sich der Einsatz des Programms Tamper Data bewährt. Mit Hilfe des leicht zu installierenden und leicht zu bedienenden Programms können externe Seitenaufrufe angezeigt werden, die der Aufruf des eigenen Blogs auslöst. Blogbetreiber können z. B. exemplarisch am Aufruf einer Blogseite jeden externen Verbindungsaufbau prüfen und kritisch dessen Notwendigkeit hinterfragen. An dieser Stelle sei angemerkt, dass es hierbei nicht darum gehen soll, die unsystematische Einbindung vereinzelter externer Grafiken oder Inhalte zu problematisieren. Problematisiert werden sollten allerdings alle Datenverarbeitungen, die Dritten ein umfassendes Tracking ermöglichen könnten. Eine einfache Grafik ist kein Problem. Ein systematisch eingebundenes Trackingpixel möglicherweise schon. Ein hilfreiches Tool ist in diesem Zusammenhang übrigens auch das Browserplugin Ghostery.
16. Cookies
Auch die vom eigenen Blog gesetzten Cookies sollten kritisch hinterfragt und in der Datenschutzerklärung erwähnt werden. Besonderes Augenmerk muss dabei auf Cookies gelegt werden, die über die Dauer der Sitzung hinaus gespeichert werden bzw. die zu Trackingzwecken gesetzt werden (vgl. auch Punkt 12 zum Webtracking).
17. ADV-Vertrag mit dem Webhoster
Sofern der WordPress-Blog nicht auf eigenen Servern, sondern von Dritten gehostet wird und personenbezogene Daten betroffen sein können, die nicht öffentlich verfügbar gemacht werden, muss zumindest der gewerbliche Blogbetreiber mit dem Webhoster einen Vertrag zur Auftragsdatenverarbeitung schließen. Insbesondere größere Webhoster verfügen hier über Musterverträge zur Auftragsdatenverarbeitung, die auch mit Kunden geschlossen werden, die nur kleine Pakete beauftragen. Im Zeitalter der DSGVO reichen allerdings Verträge nach § 11 BDSG nicht mehr aus. Es werden Verträge nach Art. 28 DSGVO benötigt.
18. Sicherheit des Webservers
Sofern Blogbetreiber den Webserver selbst betreiben, sollten sie sich auch Gedanken zur Sicherheit des Webservers machen. Sofern der Webserver durch Dienstleister betrieben wird, wird meistens in den o. g. Verträgen zur Auftragsdatenverarbeitung schon das Relevante geregelt bzw. es existieren zertifizierte Prozesse.
19. Noch einmal die IP-Adresse
Blogbetreiber sollten sich zudem Gedanken machen, wie der Webserver, auf dem der Blog betrieben wird, mit den IP-Adressen der Besucher umgeht. Werden diese protokolliert? Wenn ja, wie lange und zu welchem Zweck? Insgesamt sollte eine Protokollierung der IP-Adresse im Regelfall vermieden werden, da momentan davon auszugehen ist, dass diese problematisch ist. Der EuGH hat sich, wie bereits oben unter Ziffer 3 dargestellt, für eine Personenbezogenheit der IP-Adresse ausgesprochen. Ausnahmen vom Verbot der Speicherung bestehen aber möglicherweise dann, wenn die IP-Adresse streng zweckgebunden zur Erkennung, Eingrenzung oder Beseitigung von Störungen oder Fehlern maximal sieben Tage gespeichert wird. Nach Ablauf von sieben Tagen müssen jedoch auch die zu diesem Zweck gespeicherten IP-Adressen grundsätzlich gelöscht oder anonymisiert werden. Auch diese Frage ist jedoch nicht abschließend geklärt, sondern liegt nach einer Odyssee durch alle Instanzen jetzt wieder vor Berliner Gerichten.
20. WordPress, Themes, Widgets, Plugins updaten
Sofern der Blog erst einmal steht, sollte klar definiert werden, wer künftig für das Einspielen von Updates bzw. die Umsetzung von Änderungen verantwortlich und wer ggf. vorab zu beteiligen ist. In großen Unternehmen sind hier regelmäßig die Marketing- und die IT-Abteilung sowie (bei der Implementierung neuer Funktionen) auch der Datenschutzbeauftragte involviert.
Sonstige Themen
Dieser Beitrag ist schon sehr lang geraten. Trotzdem haben wir vieles nicht behandelt. Das Einwilligungserfordernis zur Veröffentlichung von Personenabbildungen nach § 22 KUG etwa, die Betreiberhaftung bzw. das Diensteanbieterprivileg des § 7 Abs. 2 TMG, weitere Hinweise des BSI zur Sicherheit von CMS Systemen, das OWASP Top 10 Projekt, die Einbettung von Videos sowie eine ganze Reihe anderer datenschutzrelevanter Themen. Auch bei jedem der dargestellten Themen wäre es grundsätzlich noch möglich gewesen, weiter ins Detail zu gehen. Daher insgesamt die Frage:
Ist etwas zu kurz gekommen?
Wenn Sie denken, dass etwas besonders Wichtiges zu kurz gekommen ist, schreiben Sie uns gerne einen Kommentar. Vielleicht nehmen wir das Thema dann in der nächsten Aktualisierung dieses Beitrags auf.
[Update: Dieser Beitrag wurde zuletzt am 10. Mai 2018 geupdated. Es wurden einige Gerichtsentscheidungen eingepflegt (EuGH zur Personenbezogenheit der IP-Adresse), es wurde die aktuelle Meinung der Datenschutzkonferenz zum Einwilligungserfordernis bei Webtrackingmethoden aufgegriffen, die Pflicht zur Umstellung auf https wurde noch deutlicher hervorgehoben und einige Stellen wurden auf die DSGVO angepasst. Das Update zu Accelerated Mobile Pages wurde wieder entfernt.]
Wordpress takes it all! -
16. Februar 2018 @ 15:37
[…] das Plugin JetPack (Thema: Weltherrschaft ? oder einen Online-Shop installiert siehe auch hier: https://wp-styles.de/deutsche-uebersetzung-yoast-seo-uebergangswoerter-78/. Wenn man etwas Geld ausgeben will hier der Link zu einem Anwalt: https://easyrechtssicher.de/ hier […]
Kontaktformulare: Datenschutz beachten! - easyRechtssicher
27. Juli 2017 @ 14:43
[…] findet man auch den Hinweis (zB hier), dass die Kommentar-Funktion von WordPress anonymisiert werden müsse. Hintergrund ist, dass […]
HerbertGom
12. Januar 2017 @ 12:09
Hallo,
interessante und informative Beiträge hier, super. Habe längere Zeit als stiller Gast nur mitgelesen und mich jetzt mal angemeldet.
Ich würde mich freuen, wenn ihr bei Gelegenheit auch einmal auf meinem Blog zum Thema Textilreinigung vorbeischauen würdet.
Alles Liebe
Herbert
Datenschutz für Websitebetreiber | creatix
27. Juni 2016 @ 16:54
[…] https://www.datenschutz-notizen.de/datenschutz-fuer-blogbetreiber-wordpress-rechtskonform-nutzen-421… […]
www.datenschutz-notizen.de | JIPS
31. Mai 2016 @ 14:44
[…] nord) sind umfassend und stellen einen guten Bezug zwischen Datenschutz und Datensicherheit her (https://www.datenschutz-notizen.de/datenschutz-fuer-blogbetreiber-wordpress-rechtskonform-nutzen-421…). Aus Sicht der Redaktion des Internetprojekts handelt es sich um eine übersichtliche und […]
Carry
12. April 2016 @ 13:37
Das ist wirklich der Beste Beitrag zum Thema Datenschutz, wenn man einen Blog betreiben will.
Er hat mir sehr weitergeholfen und ich habe jeden Punkt „abgearbeitet“. Und wenn man sich mal nicht zu 100% sicher ist, ob die Einstellung so passt, dann hilft einem auch immer die WordPress Hotline weiter.
Vielen lieben Dank für die Mühe diese Beitrag zu verfassen!
Aus dem Netz - KW35
29. August 2015 @ 10:23
[…] Datenschutz für Blogbetreiber – WordPress rechtskonform nutzen #recht #bloggen Beim letzten #blogtisch kam eine rege Diskussion zum Thema “rechtsicher bloggen” auf. Ein wirklich schweres Thema. Wenn ihr genug Zeit habt, kann dieser Artikel einige Fragen zu dem Thema beantworten. […]
Die Social Web News der 16. Kalenderwoche
22. August 2015 @ 16:29
[…] Linie an gewerbliche Blogbetreiber und insbesondere an Betreiber von Unternehmensblogs. Datenschutz für Blogbetreiber – WordPress rechtskonform nutzen […]
Rechtsfragen: Wie ist das mit dem Kommerz? | Redaktionsblog
12. August 2015 @ 12:17
[…] hat noch keine solche Erklärung, und überhaupt ist es gar nicht so einfach, etwa mit WordPress datenschutzkonform zu arbeiten. Die Bewertung solcher Forderungen, die manchem überzogen anmuten mögen, muss jedem einzelnen […]
Blogging Links und Tipps | Girls Guide To Blogging
17. Juli 2015 @ 9:47
[…] Datenschutz für Blogbetreiber – WordPress rechtskonform nutzen […]
SFeld
6. Mai 2015 @ 20:17
Wie sieht es eigentlich mit Social Locker Plugins für WordPress aus? Es gibt ja die Möglichkeit Inhalte z.B. für einen Tweet freizuschalten. So kann man Inhalte einerseits kostenlos und andererseits gegen eine Unterstützung in Form einer Empfehlung zur Verfügung stellen. Ist das Datenschutztechnisch ein Problem? Und wenn nein, gibt es Plugins, die die 2Klick-Technik einbinden?
Ronald
23. April 2015 @ 15:36
Die Punkte Spam-Filter und IP-Adressen sind problematisch!, denn diese arbeiten nun einmal mit der Protokollierung von IP-Adressen! Falls ich nun die automatische Protokollierung mittels einer Erweiterung blockiere, können Spam-Filter dann überhaupt noch arbeiten?
Selbst Captchas oder Rechenaufgaben helfen übrigens bei hartnäckigen Spam-Mailern überhaupt nicht, bieten also kaum Schutz: Ich habe meinen Spam-Filter mal nur für fünfzehn Minuten deaktiviert, während die Rechenaufgabe noch aktiv war, und nach diesen fünfzehn Minuten konnte ich dutzende von Spam- oder Link-Spam-Kommentaren löschen!
Harald Müller
22. April 2015 @ 11:53
Vielen Dank für die umfangreichen Informationen !
Tom
20. April 2015 @ 19:16
Danke für den Artikel… Man versucht an alles zu denken und sieht dann doch, dass man noch nachbessern kann. Bei mir sinds die Schriften die ich noch auf lokal umbiegen könnte, auch wenn sich noch keiner dafür interessiert – irgendwann hat jemand Langeweile und kommt auf das schmale Brett…
Für Spamkommentare setze ich auf Antispam Bee – bei mir mit einer 100% Erkennungsrate und mMn Datenschutzkonform
Impressum – Datenschutz – Rechtssicherheit
20. April 2015 @ 16:58
[…] Datenschutz für Blogbetreiber – WordPress rechtskonform nutzen […]
Dunkelangst
20. April 2015 @ 14:12
Danke für diesen Beitrag!
Für mich ist es allerdings eher interessant, wie es aussieht, wenn ich meinen Erstwohnsitz außerhalb von Deutschland habe. Zurzeit wohne ich in der Schweiz und zuvor habe ich schon ein Jahr lang in Taiwan gelebt. Gehostet wird meine Seite nach wie vor in Deutschland, da ich mit dem Service meines Hosting Anbieters sehr zufrieden bin.
Anmerken möchte ich, dass sich nach Lektüre des TMG (habe ich 2012 mal durchgearbeitet) in meiner Erinnerung nicht relevant ist, wo die Seite gehostet wird, sondern wo sich der Erstwohnsitz des Betreibers befindet. In meinem Fall außerhalb der BRD. Sicher bin ich mir in diesem Punkt jedoch nicht.
Vielleicht könntet ihr auf diesen Punkt noch einmal eingehen!
Viele Grüße
Christian Eggers
20. April 2015 @ 11:11
Vielen Dank für die gründliche Zusammenfassung! Ich habe eine Frage zum Einwilligungserfordernis zur Veröffentlichung von Personenabbildungen nach § 22 KUG. Gilt denn nicht das BDSG mit dem Schriftformerfordernis? Das KUG stellt kein Formerfordernis für die Einwilligung in die Veröffentlichung auf. Wird aber im nicht privaten Bereich fotografiert und veröffentlicht, gilt ja das BDSG mit dem Schriftformerfordernis? Einige Autoren bejahen diese Frage. Gibt es dazu Rechtsprechung?
Vielen Dank, über eine Antwort freue ich mich.
Christian Eggers, Fotoschule für Journalismus und Öffentlichkeitsarbeit
Sven Venzke-Caprarese
27. April 2015 @ 11:42
Mir ist leider keine Rechtsprechung bekannt, die genau diese Frage behandelt. Allerdings gehe ich davon aus, dass das KUG als bereichsspezifische Vorschrift dem BDSG vorgeht. Von daher kann die Einwilligung in die Veröffentlichung von Personenabbildungen auch mündlich und sogar konkludent erteilt werden. Zur Wirksamkeit bedarf es somit keiner Schriftform. Jetzt kommt jedoch noch ein großes ABER: Das KUG stellt die unbefugte Veröffentlichung von Personenabbildungen unter Strafe. So drohen nach § 33 KUG theoretisch Freiheitsstrafe von bis zu einem Jahr oder Geldstrafe, wenn entgegen den §§ 22, 23 ein Bildnis verbreitet wird. Die Beweislast für das Vorliegen eines Erlaubnistatbestands bzw. einer Einwilligung trägt derjenige, der das Bildnis verbreitet. Liegt lediglich eine mündliche oder sogar nur eine konkludente Einwilligung vor, wird dies in der Praxis oftmals zu erheblichen Beweisproblemen führen. Wenn möglich, sollte daher immer eine schriftliche Einwilligung eingeholt werden.
Den Umgang auf Veranstaltungen hat das Bayerische Landesamt für Datenschutz im Tätigkeitsbericht 2009/2010 (PDF) unter Ziffer 4.1.2 ganz gut dargestellt.
Videoseher
20. April 2015 @ 10:00
Das ist eine sinnvolle Zusammenstellung. Da vergeht einem fast die Lust, es zu betreiben – und man ist ja schon „gewerblich“, wenn man amazon-Partnerlinks einbaut und 50 Cent darüber generiert.
Hier werden ja Gravatare benutzt 😉
Sven Venzke-Caprarese
27. April 2015 @ 11:23
Hallo Videoseher,
danke für Deine Kommentare. Gravatare werden hier allerdings nicht benutzt. Bei dem Bild neben den Beiträgen handelt es sich um den lokalen Standardavatar von WordPress. Die Bilder der Autoren liegen ebenfalls lokal auf unserem Server.
Wie kann man Gravatar deaktivieren?
Gravatar haben wir wie folgt deaktiviert: Im Admin-Bereich von WordPress gibt es unter dem Menüpunkt „Avatare“ unter „Einstellungen“ die Option „Gravatar deaktivieren und nur lokale Avatare verwenden“.
Publishing Report, 19.04.15: Google, Datenschutz, Herzschmerz | BASIC thinking
19. April 2015 @ 19:38
[…] Website Datenschutz Notizen führt in 20 Schritten auf, wie man sein Blog datenschutzrechtlich optimieren kann. Darin klärt Autor Sven […]
Publishing Report: Google, Datenschutz, Herzschmerz – Tobias Gillen
18. April 2015 @ 12:01
[…] Website Datenschutz Notizen führt in 20 Schritten auf, wie man sein Blog datenschutzrechtlich optimieren kann. Darin klärt Autor Sven […]
Datenschutz für Blogs und Websites - Zeitreisender | Zeitreisender
16. April 2015 @ 13:11
[…] möchte ich auf den Blog-Beitrag von “Datenschutz Notizen” hinweisen, der nicht nur für WordPress-Blogger sehr interessant ist. In diesem Beitrag wird […]
Alexander Schestag
14. April 2015 @ 13:51
Ganz ehrlich: Wenn jeder kleine private Blogbetreiber mit einem Bein in der Privatinsolvenz steht, weil er abgemahnt werden kann, weil er irgendeinen dieser zig Punkte nicht exakt beachtet hat, dann ist was faul im Staate Deutschland. Das ist definitiv eine Überregulierung sondersgleichen.
Videoseher
20. April 2015 @ 10:01
richtig
Anonymous
3. September 2015 @ 21:32
Falsch
Im Straßenverkehr gibt es auch Regeln. Da fahren nicht nur Firmenwagen … Fängt nichts an, was ihr nicht versteht.
Ralf Zosel
14. April 2015 @ 11:17
Habe mir erlaubt, ein bisschen Kritik zu üben – vor allem aber Werbung zu machen – für diese schöne Zusammenstellung:
http://ralfzosel.de/blog/datenschutz-fuer-blogbetreiber-katalog-von-caprarese
Danke!
Kay Steeger
14. April 2015 @ 9:24
Vielen Dank für die gute Zusammenstellung. Leider gehen sehr viele Webseitenbetreiber noch immer sehr locker mit dem Thema Datenschutz um und halten es für nicht so wichtig. Es ist ihnen oft nicht bewusst, welche Schäden durch die fahrlässige Handhabung entstehen können und werden meist erst wach, wenn ein Mißbrauch der Daten stattgefunden hat oder jemand auf dem Rechtsweg dem Betreiber empfindlich (und oft teuer) auf die Finger haut.
Es sind übrigens nicht nur die Einzelkämpfer und Blogger, sondern durchaus auch ordentlich große Unternehmen, die das Thema Datenschutz nur am Rande angehen. Erschreckend, wo doch immer mehr Daten im Web verarbeitet werden.
Viele Grüße, Kay Steeger
Eddy
14. April 2015 @ 8:55
Danke für diese interessante Übersicht!
Mich erschreckt das irgendwie, dass man heute neben einem guten CMS auch eigentlich einen guten Rechtsanwalt braucht, wenn man einfach nur bloggen möchte….
Sven Venzke-Caprarese
14. April 2015 @ 9:25
Vielen Dank für den Kommentar. Wenn man die o. g. Tipps beachtet ist man datenschutzrechtlich eigentlich schon gut gerüstet.
Einer der Gründe, die mich bewogen haben, diesen Artikel zu schreiben, war, dass William Sen in einem Artikel bei t3n mit dem Titel Mythos Datenschutz in Social Media: Klatsch und Rechtsgetratsche in Deutschland darüber berichtet hat, dass die Compliance-Abteilung eines der größten Automobilhersteller den Einsatz von WordPress im Unternehmen gestoppt hat, weil sie WordPress einfach nicht kannte und daher grundsätzliche Bedenken am Einsatz hatte (da stellen sich auch einem Datenschutz-Berater die Nackenhaare auf). Mit einem Verweis auf diesen Blogbeitrag wäre das vielleicht nicht passiert, …
6 Praxis-Tipps und Plugins für mehr Datenschutz beim WordPress-Blog – Tobias Gillen
14. April 2015 @ 0:41
[…] Montag bin ich beim Medien-Branchendienst turi2 auf einen Blog-Beitrag von “Datenschutz Notizen” aufmerksam geworden, der für (WordPress-)Blogger enorm hilfreich ist. Darin beschreibt […]
Sven Venzke-Caprarese
13. April 2015 @ 14:15
Vielen Dank für das Feedback! Aus meiner Sicht spricht datenschutzrechtlich nichts dagegen, die eigenen Blogbeiträge automatisch auch auf anderen Social Media Portalen zu veröffentlichen. Wir veröffentlichen z. B. eine kurze Nachricht zu jedem neuen Blogbeitrag automatisch über unseren Twitteraccount. Mir fallen spontan zwei Dinge ein, die man dabei beachten muss:
1.) Der eigene Social Media Account darf nicht gefährdet werden
Damit Blogbeiträge auf den eigenen Social Media Portalen automatisch gepostet werden, benötigt das für diese Funktion verwendete WordPress-Plugin jeweils Zugangs- bzw. Schreibrechte für den entsprechenden Social Media Account. Insofern muss gewährleistet werden, dass die Nutzung des Plugins nicht zum Risiko für den Social Media Account wird. In der Regel werden dazu vom Social Media Portal über das OAuth-Protokoll z. B. ein API Key und entsprechende Tokens zur Verfügung gestellt, die das WordPress-Plugin dann verwendet.
2.) Auch die Social Media Site muss datenschutzkonform gestaltet sein
Dann gilt es natürlich noch, die entsprechende Social Media Site datenschutzkonform zu betreiben. Hierzu haben wir auch schon den ein oder anderen Blogbeitrag verfasst. Aufpassen muss man hier ebenfalls bei der Gestaltung von Impressum und Datenschutzerklärung. Insbesondere Betreiber einer Facebook Fanpage sind in der Vergangenheit in die Kritik von Landesdatenschutzbeauftragten geraten. Erste Musterprozesse gingen jedoch zu Gunsten der Fanpagebetreiber aus. Den aktuellen Stand haben wir in unserem Beitrag
„Bundesverwaltungsgericht: Wie ist eigentlich der Stand zur Facebook-Fanpage?“
in einer kurzen Infografik dargestellt.
Brandaktuell ist in diesem Zusammenhang übrigens auch ein Vorgang in Baden Württemberg, über den wir im Beitrag
„Baden-Württemberg: Facebook-Seite abschalten?“
berichten.
Claudia Siebert
14. April 2015 @ 20:07
Vielen Dank!
Claudia Siebert
13. April 2015 @ 13:06
Vielen Dank für die umfangreichen Informationen! Vieles war bekannt, manches aber auch doch wieder neu … Das Thema ist wirklich ein Fass ohne Boden …
Eine Frage hätte ich noch: Wie sieht es aus, wenn man Blogbeiträge automatisch auf Facebook oder google+ veröffentlichen lässt – ist das datenschutzrechtlich überhaupt noch machbar? Welche Sicherheitsvorkehrungen müsste man dafür treffen? Die 2-Klick- oder Sharrif-Lösung greift hier ja nicht. Hinweis in den Datenschutzinfos sind natürlich klar. Und sonst?
Die Links aus dem Social Media Newsletter von heute (13.4.2015) - socialmedianewsletter.de
13. April 2015 @ 12:18
[…] Datenschutz für Blogbetreiber – WordPress rechtskonform nutzen https://www.datenschutz-notizen.de/datenschutz-fuer-blogbetreiber-wordpress-rechtskonform-nutzen-421… […]
Felix Neumann
13. April 2015 @ 12:04
Danke für die umfangreiche Übersicht!
Zu 7, Social-Media-Plugins: Für WordPress gibt es mittlerweile ein Plugin, das Shariff recht komfortabel einbindet: https://wordpress.org/plugins/shariff-sharing/
Ich verwende das jetzt seit ein paar Wochen und bin sehr zufrieden damit.
Sven Venzke-Caprarese
13. April 2015 @ 12:16
Vielen Dank für die Kommentare.
@ Felix Neumann: Ich habe den Beitrag im Hinblick auf das Shariff-Plugin angepasst. Wir werden dies wohl künftig auch nutzen. Danke für den Hinweis!
Miladin
13. April 2015 @ 10:07
…oha, das hatte ich in der Bandbreite auch nicht auf dem Schirm!
🙂
Danke…