Im ersten Schritt müssen Blogger, Vereine und Organisationen ihre Datenschutzerklärung aktualisieren. Schon vorher fanden sich auf Websites entsprechende Hinweise, etwa auf die Nutzung von Cookies. Künftig muss die Erklärung auch einfach verständlich sein und die Verwendung von Tracking-Tools wie Google Analytics oder die Übermittlung von Daten in Drittländer transparent machen. Bei der Vollständigkeit können Datenschutz-Generatoren wie der von Anwalt Thomas Schwenke helfen, die automatisiert eine DSGVO-konforme Mustererklärung erzeugen.

Während die Datenschutzerklärung noch vergleichsweise einfach umzusetzen ist, wird es bei Plugins schon komplizierter. Grundsätzlich regelt die DSGVO, dass Nutzerinnen und Nutzer jeder Weiterverarbeitung ihrer Daten zustimmen müssen – auch der von Drittanbietern. "Ich blogge seit 14 Jahren", sagt Maren Baumann, "über die Jahre läppern sich die Plugins, die man verwendet." Sie hat einige Tools wie Google Analytics vorsichtshalber deaktiviert. Trotzdem ist sie nicht sicher, ob sie alle Auflagen erfüllt.

Dass Plugins von Drittanbietern ein Thema sind, hängt mit der Datenverarbeitung zusammen. Anwalt Schwenke nennt als Beispiel die Kommentarspalte in einem WordPress-Blog: Wer einen Kommentar unter einem Post verfasst, dessen E-Mail- und IP-Adresse werden gespeichert. Mit Hilfe dessen können Plugins etwa Spam-Kommentare von immer der gleichen Adresse herausfiltern. "Wenn aber die Daten zur Prüfung in die USA geschickt werden, dann brauche ich die Erlaubnis des Nutzers", sagt Schwenke.

Was heißt schon regelmäßig?

Genauso ist es mit der Einbindung von sozialen Medien wie dem Like-Button von Facebook oder der Einbetten-Funktion: Es besteht ein Risiko, dass Daten ohne Einverständnis abgegriffen werden. "Ich würde keinen Facebook-Text einbetten, wenn ich davon nicht einen deutlichen wirtschaftlichen Vorteil hätte", sagt Schwenke. Der Anwalt geht aber davon aus, dass die Anbieter bald nachrüsten und auch DSGVO-konforme Dienste anbieten werden. Einige haben damit schon angefangen: Bei Adsense, einem Angebot von Google, können Kunden auch nicht-personalisierte Werbung anzeigen lassen. Und WordPress bietet mittlerweile ebenfalls DSGVO-konforme Plugins an.

Wer trotzdem Plugins verwenden will, kann sich mit einem sogenannten Auftragsverarbeitungsvertrag absichern. Schon das Bundesdatenschutzgesetz (BDSG) bestand in bestimmten Fällen auf einen solchen Vertrag. Allerdings verschärfen sich die Anforderungen durch die DSGVO. Der Vertrag ist notwendig, sobald ein Anbieter Daten verarbeitet – wie etwa die E-Mail- oder die IP-Adresse. Auch Tracking-Tools wie Google Analytics, Homepage-Baukästen wie WordPress oder Hoster wie 1&1 und Amazon Web Services zählen dazu. Der Vertrag beinhaltet die Auflage, dass die Auftragnehmer – also etwa die Hoster – die Informationen der Nutzerinnen und Nutzer sicher und vertraulich behandeln.

Damit die Daten auf Kontaktformularen oder Newsletter-Anmeldungen sicher übertragen werden, muss ein Onlineauftritt außerdem verschlüsselt sein. Das IT-Sicherheitsgesetz und das Telemediengesetz verlangen schon seit 2015, dass Betreiberinnen Sicherheitsvorkehrungen gemäß dem "Stand der Technik" treffen. Erfüllen können Blogger, Vereine, Organisationen und Firmen diese Vorgaben, indem sie ein TSL- oder SSL-Zertifikat erwerben und auf der Website einbinden. Übrigens: Google will in seinem Browser Chrome ab Juli 2018 alle Seiten als unsicher markieren, die nicht verschlüsselt sind. Schon allein aus Suchmaschinensicht lohnt sich die Umstellung also.

Manche Websitebetreiber fürchten auch, ein Verzeichnis von Verarbeitungstätigkeiten führen zu müssen, das unter anderem Ansprechpartner und Informationen zum Verarbeitungszweck enthält. Diese Anforderung gilt ab einer Unternehmensgröße von 250 Mitarbeitern. Sie gilt auch, wenn sie ein Risiko für die Rechte eines Menschen bergen, besonders sensible personenbezogene Daten wie der biometrische Fingerabdruck gespeichert oder regelmäßig personenbezogene Informationen verarbeitet werden. Die letzten beiden Punkte treffen etwa auf Arztpraxen und Vereine zu – sie müssen ein Verzeichnis anlegen.

Ob die Formulierung auch für einfache statische Websites gilt, ist aber unklar. Zwar könnte man argumentieren, dass ein Bäcker in seinem Kontaktformular regelmäßig Daten erhebt, weil er eben ein solches Formular anbietet – selbst wenn auf der Seite sonst nur seine Geschäftszeiten angegeben sind. Aber man könnte genauso gut argumentieren, dass die Datenverarbeitung nicht nach einem bestimmten Turnus erfolgt, also unregelmäßig stattfindet. Die Datenschutzkonferenz des Bundes und der Länder zieht das Fazit: "Es ist davon auszugehen, dass die Ausnahmen nur selten greifen werden und vielfach das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten geboten ist." Wer sicher gehen will, sollte folglich ein Verzeichnis anlegen (ein Muster finden Interessierte zum Beispiel auf der Seite der Landesdatenschutzbeauftragten von Niedersachsen).