Was für Sorgen die Datenschutz-Grundverordnung (DSGVO) schürt, zeigt das Beispiel von Maren Baumann. Obwohl die Bloggerin ihre Website schon mit einer neuen Datenschutzerklärung ausgestattet hat, will sie in diesem Artikel nicht mit ihrem richtigen Namen erscheinen – aus Angst vor einer Klage.

"Ich lasse mich ungern anonymisieren", sagt Baumann im Gespräch mit ZEIT ONLINE. "Aber ich will nicht diejenige sein, an der ein Exempel statuiert wird." Was sie damit meint: Sie will nicht die erste sein, die wegen eines Verstoßes gegen die DSGVO abgemahnt wird. Durch das neue Gesetz, das ab dem 25. Mai verpflichtend umgesetzt werden muss, können auch Bloggerinnen wie sie zu Schadenersatzzahlungen verurteilt werden. Wie teuer das wird, ist schwer zu sagen. Die in der Verordnung festgeschriebene Höchstsumme liegt bei 20 Millionen Euro oder vier Prozent des Jahresumsatzes bei Unternehmen.

Ein Blick in die Blogosphäre verdeutlicht, dass diese Angst nicht nur Baumann umtreibt – und dass viele nicht so genau wissen, was sie eigentlich noch dürfen und was nicht. Die Bloggerin Kathrin Sandtner-Frieß will die Funktion, ihre Beiträge per E-Mail zu abonnieren, vorsichtshalber löschen. Der Fotograf Gunther Wegner bemerkt in einem Beitrag, dass er "in Zukunft stärker aufpassen" werde, welche Bilder er veröffentliche. Die Bloggerin Alice Gabathuler macht sogar einen radikalen Schnitt. Sie habe schlicht "null Lust auf eine Tonne Administration", wie sie auf ihrer Website Kreuz und Quer schreibt. "Die Datenschutzbeauftragte in meiner Firma ist meine Sekretärin, und die bin ich (unbezahlt)." Nach zwölf Jahren stellt sie ihren Onlineauftritt ein.

Eigentlich ist das neue Gesetz nicht gezielt für Blogger ausgelegt, sondern in erster Linie für Unternehmen, die Daten verarbeiten. Die DSGVO soll unter anderem dem großen Datensammeln von Google und Facebook, von Amazon und Netflix Einhalt gebieten. Statt ungehindert alles zu speichern, sollen sie ihren Nutzerinnen und Nutzern wenigstens ein bisschen mehr Hoheit über ihre Informationen gewähren: Die Verbraucherinnen und Verbraucher können ihre Daten herunterladen und bei einem anderen Dienst hochladen (das soll Datenmonopole brechen), sie können Fragen zu der Art der gesammelten Daten stellen (das soll mehr Transparenz schaffen), sie können ihre Daten löschen lassen, wenn sie nicht mehr benötigt werden (das soll unnötige Werbung verhindern). Für die Verbraucher bedeutet das mehr Transparenz – für Websitebetreiber mehr Arbeit.

Kleinere Firmen, Blogger, Vereine und gemeinnützige Organisationen stehen nun vor der Frage, wie sie die Verordnung erfüllen sollen. Denn mit der Anpassung der Datenschutzerklärung ist es nicht getan: Sie müssen sich mit Hosting-Verträgen, Plugins und Datenverarbeitung auf ihren Seiten auseinandersetzen. Oft fehlt aber die Expertise, das Geld oder die Zeit für eine Auseinandersetzung mit den rechtlichen Pflichten. Was können Betreiberinnen und Betreiber also tun, wenn sie mit ihren Webauftritten online bleiben wollen?

Bevor Menschen ihren Onlineauftritt löschen, sollten sie prüfen, ob die Datenschutz-Grundverordnung überhaupt auf sie zutrifft. Denn Privatpersonen sind laut des Gesetzestextes explizit ausgeschlossen von der Umsetzung, solange sie ausschließlich "persönliche oder familiäre Tätigkeiten" im Netz ausüben. Darunter würde beispielsweise ein geschütztes Blog fallen, auf den nur Freunde und Familie zugreifen können, aber auch ein privates Twitter- oder Instagram-Profil.

Allerdings dürften diese Voraussetzungen auf die wenigsten Seiten zutreffen. "Fast jede Website ist von der DSGVO betroffen", sagt Rechtsanwalt Thomas Schwenke, der sich mit Datenschutz befasst. Schon eine Kommentarspalte oder ein Kontaktformular reichen aus, damit ein Onlineauftritt unter die EU-Verordnung fällt. Schließlich werden beim Abschicken einer Anfrage Angaben wie die E-Mail-Adresse oder der Name der Person verarbeitet und gespeichert. Genau solche Informationen dürfen laut DSGVO jedoch nur mit der Zustimmung der Nutzerinnen geteilt werden. Denn es handelt sich um eine erlaubnispflichtige Verarbeitung, über die Nutzer zudem in der Datenschutzerklärung aufgeklärt werden müssen. Selbst eine freiberufliche Webdesignerin mit einer statischen Website, die ein paar Informationen über das Portfolio enthält, kommt also um die Verordnung nicht herum.

Das müssen Websitebetreiber beachten

Im ersten Schritt müssen Blogger, Vereine und Organisationen ihre Datenschutzerklärung aktualisieren. Schon vorher fanden sich auf Websites entsprechende Hinweise, etwa auf die Nutzung von Cookies. Künftig muss die Erklärung auch einfach verständlich sein und die Verwendung von Tracking-Tools wie Google Analytics oder die Übermittlung von Daten in Drittländer transparent machen. Bei der Vollständigkeit können Datenschutz-Generatoren wie der von Anwalt Thomas Schwenke helfen, die automatisiert eine DSGVO-konforme Mustererklärung erzeugen.

Während die Datenschutzerklärung noch vergleichsweise einfach umzusetzen ist, wird es bei Plugins schon komplizierter. Grundsätzlich regelt die DSGVO, dass Nutzerinnen und Nutzer jeder Weiterverarbeitung ihrer Daten zustimmen müssen – auch der von Drittanbietern. "Ich blogge seit 14 Jahren", sagt Maren Baumann, "über die Jahre läppern sich die Plugins, die man verwendet." Sie hat einige Tools wie Google Analytics vorsichtshalber deaktiviert. Trotzdem ist sie nicht sicher, ob sie alle Auflagen erfüllt.

Dass Plugins von Drittanbietern ein Thema sind, hängt mit der Datenverarbeitung zusammen. Anwalt Schwenke nennt als Beispiel die Kommentarspalte in einem WordPress-Blog: Wer einen Kommentar unter einem Post verfasst, dessen E-Mail- und IP-Adresse werden gespeichert. Mit Hilfe dessen können Plugins etwa Spam-Kommentare von immer der gleichen Adresse herausfiltern. "Wenn aber die Daten zur Prüfung in die USA geschickt werden, dann brauche ich die Erlaubnis des Nutzers", sagt Schwenke.

Was heißt schon regelmäßig?

Genauso ist es mit der Einbindung von sozialen Medien wie dem Like-Button von Facebook oder der Einbetten-Funktion: Es besteht ein Risiko, dass Daten ohne Einverständnis abgegriffen werden. "Ich würde keinen Facebook-Text einbetten, wenn ich davon nicht einen deutlichen wirtschaftlichen Vorteil hätte", sagt Schwenke. Der Anwalt geht aber davon aus, dass die Anbieter bald nachrüsten und auch DSGVO-konforme Dienste anbieten werden. Einige haben damit schon angefangen: Bei Adsense, einem Angebot von Google, können Kunden auch nicht-personalisierte Werbung anzeigen lassen. Und WordPress bietet mittlerweile ebenfalls DSGVO-konforme Plugins an.

Wer trotzdem Plugins verwenden will, kann sich mit einem sogenannten Auftragsverarbeitungsvertrag absichern. Schon das Bundesdatenschutzgesetz (BDSG) bestand in bestimmten Fällen auf einen solchen Vertrag. Allerdings verschärfen sich die Anforderungen durch die DSGVO. Der Vertrag ist notwendig, sobald ein Anbieter Daten verarbeitet – wie etwa die E-Mail- oder die IP-Adresse. Auch Tracking-Tools wie Google Analytics, Homepage-Baukästen wie WordPress oder Hoster wie 1&1 und Amazon Web Services zählen dazu. Der Vertrag beinhaltet die Auflage, dass die Auftragnehmer – also etwa die Hoster – die Informationen der Nutzerinnen und Nutzer sicher und vertraulich behandeln.

Damit die Daten auf Kontaktformularen oder Newsletter-Anmeldungen sicher übertragen werden, muss ein Onlineauftritt außerdem verschlüsselt sein. Das IT-Sicherheitsgesetz und das Telemediengesetz verlangen schon seit 2015, dass Betreiberinnen Sicherheitsvorkehrungen gemäß dem "Stand der Technik" treffen. Erfüllen können Blogger, Vereine, Organisationen und Firmen diese Vorgaben, indem sie ein TSL- oder SSL-Zertifikat erwerben und auf der Website einbinden. Übrigens: Google will in seinem Browser Chrome ab Juli 2018 alle Seiten als unsicher markieren, die nicht verschlüsselt sind. Schon allein aus Suchmaschinensicht lohnt sich die Umstellung also.

Manche Websitebetreiber fürchten auch, ein Verzeichnis von Verarbeitungstätigkeiten führen zu müssen, das unter anderem Ansprechpartner und Informationen zum Verarbeitungszweck enthält. Diese Anforderung gilt ab einer Unternehmensgröße von 250 Mitarbeitern. Sie gilt auch, wenn sie ein Risiko für die Rechte eines Menschen bergen, besonders sensible personenbezogene Daten wie der biometrische Fingerabdruck gespeichert oder regelmäßig personenbezogene Informationen verarbeitet werden. Die letzten beiden Punkte treffen etwa auf Arztpraxen und Vereine zu – sie müssen ein Verzeichnis anlegen.

Ob die Formulierung auch für einfache statische Websites gilt, ist aber unklar. Zwar könnte man argumentieren, dass ein Bäcker in seinem Kontaktformular regelmäßig Daten erhebt, weil er eben ein solches Formular anbietet – selbst wenn auf der Seite sonst nur seine Geschäftszeiten angegeben sind. Aber man könnte genauso gut argumentieren, dass die Datenverarbeitung nicht nach einem bestimmten Turnus erfolgt, also unregelmäßig stattfindet. Die Datenschutzkonferenz des Bundes und der Länder zieht das Fazit: "Es ist davon auszugehen, dass die Ausnahmen nur selten greifen werden und vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten ist." Wer sicher gehen will, sollte folglich ein Verzeichnis anlegen (ein Muster finden Interessierte zum Beispiel auf der Seite der Landesdatenschutzbeauftragten von Niedersachsen).

Im schlimmsten Fall "sehr hart"

Maren Baumann steht der DSGVO skeptisch gegenüber. "Ich verkaufe keine Werbung, ich sammle keine Daten – ich will nur wissen, welcher meiner Beiträge gut läuft", sagt sie. Trotzdem müsse sie ihre Website anpassen. Gegenüber den großen Unternehmen sieht sie sich benachteiligt. "Gerade diejenigen, die die DSGVO zu Recht treffen soll, werden am wenigsten Sorgen mit ihr haben." Besonders stört sie, dass das Risiko einer Klage nicht abschätzbar ist und oft bagatellisiert wird. Sie habe das Gefühl, dass die Sorge schon berechtigt sei, weil es so viele Unsicherheiten gebe.

Thomas Schwenke kann diese Haltung nachvollziehen. "Wenn man das Gesetz im Worst Case auslegt, dann wirkt es schon sehr hart", sagt der Rechtsanwalt. Durch die Schadenersatzansprüche kann der Nutzer an einer Abmahnung wegen Datenschutzverstoßes verdienen. Das schürt die Sorge vor einem Missbrauch – und vor einer Zunahme von Klagen. Schwenkes Ansicht nach kann man das Risiko erst seriös abschätzen, wenn die ersten Urteile gefallen sind. "Wenn Gerichte bei Klagen gegen Blogger und Vereine tatsächlich hohe Schadenersatzzahlungen oder Bußgelder bestätigen, dann ist die Gefahr einer Abmahnwelle groß."

Ein Spaß wie eine Steuererklärung

Der Anwalt sagt aber auch: Das Risiko der Klage habe es auch vor dem Ablauf der Umsetzungsfrist der DSGVO gegeben. Und bisher hätten Gerichte eher zurückhaltend geurteilt. Auch Politiker wie die EU-Kommissarin Věra Jourová oder der Grünen-Abgeordnete Jan Philipp Albrecht, die an der DSGVO mitgewirkt haben, glauben nicht an eine Häufung der Klagen.

Grundsätzlich mahnt Schwenke vor allzu großer Panik. "Es ändert sich gar nicht so viel", sagt der Experte. Den Aufwand, einen Onlineauftritt auf die DSGVO abzustimmen, vergleicht er mit dem einer Steuererklärung: Spaß macht die Umstellung nicht, aber möglich ist sie.