Was für Sorgen die Datenschutz-Grundverordnung (DSGVO) schürt, zeigt das Beispiel von Maren Baumann. Obwohl die Bloggerin ihre Website schon mit einer neuen Datenschutzerklärung ausgestattet hat, will sie in diesem Artikel nicht mit ihrem richtigen Namen erscheinen – aus Angst vor einer Klage.

"Ich lasse mich ungern anonymisieren", sagt Baumann im Gespräch mit ZEIT ONLINE. "Aber ich will nicht diejenige sein, an der ein Exempel statuiert wird." Was sie damit meint: Sie will nicht die erste sein, die wegen eines Verstoßes gegen die DSGVO abgemahnt wird. Durch das neue Gesetz, das ab dem 25. Mai verpflichtend umgesetzt werden muss, können auch Bloggerinnen wie sie zu Schadenersatzzahlungen verurteilt werden. Wie teuer das wird, ist schwer zu sagen. Die in der Verordnung festgeschriebene Höchstsumme liegt bei 20 Millionen Euro oder vier Prozent des Jahresumsatzes bei Unternehmen.

Ein Blick in die Blogosphäre verdeutlicht, dass diese Angst nicht nur Baumann umtreibt – und dass viele nicht so genau wissen, was sie eigentlich noch dürfen und was nicht. Die Bloggerin Kathrin Sandtner-Frieß will die Funktion, ihre Beiträge per E-Mail zu abonnieren, vorsichtshalber löschen. Der Fotograf Gunther Wegner bemerkt in einem Beitrag, dass er "in Zukunft stärker aufpassen" werde, welche Bilder er veröffentliche. Die Bloggerin Alice Gabathuler macht sogar einen radikalen Schnitt. Sie habe schlicht "null Lust auf eine Tonne Administration", wie sie auf ihrer Website Kreuz und Quer schreibt. "Die Datenschutzbeauftragte in meiner Firma ist meine Sekretärin, und die bin ich (unbezahlt)." Nach zwölf Jahren stellt sie ihren Onlineauftritt ein.

Eigentlich ist das neue Gesetz nicht gezielt für Blogger ausgelegt, sondern in erster Linie für Unternehmen, die Daten verarbeiten. Die DSGVO soll unter anderem dem großen Datensammeln von Google und Facebook, von Amazon und Netflix Einhalt gebieten. Statt ungehindert alles zu speichern, sollen sie ihren Nutzerinnen und Nutzern wenigstens ein bisschen mehr Hoheit über ihre Informationen gewähren: Die Verbraucherinnen und Verbraucher können ihre Daten herunterladen und bei einem anderen Dienst hochladen (das soll Datenmonopole brechen), sie können Fragen zu der Art der gesammelten Daten stellen (das soll mehr Transparenz schaffen), sie können ihre Daten löschen lassen, wenn sie nicht mehr benötigt werden (das soll unnötige Werbung verhindern). Für die Verbraucher bedeutet das mehr Transparenz – für Websitebetreiber mehr Arbeit.

Kleinere Firmen, Blogger, Vereine und gemeinnützige Organisationen stehen nun vor der Frage, wie sie die Verordnung erfüllen sollen. Denn mit der Anpassung der Datenschutzerklärung ist es nicht getan: Sie müssen sich mit Hosting-Verträgen, Plugins und Datenverarbeitung auf ihren Seiten auseinandersetzen. Oft fehlt aber die Expertise, das Geld oder die Zeit für eine Auseinandersetzung mit den rechtlichen Pflichten. Was können Betreiberinnen und Betreiber also tun, wenn sie mit ihren Webauftritten online bleiben wollen?

Bevor Menschen ihren Onlineauftritt löschen, sollten sie prüfen, ob die Datenschutz-Grundverordnung überhaupt auf sie zutrifft. Denn Privatpersonen sind laut des Gesetzestextes explizit ausgeschlossen von der Umsetzung, solange sie ausschließlich "persönliche oder familiäre Tätigkeiten" im Netz ausüben. Darunter würde beispielsweise ein geschütztes Blog fallen, auf den nur Freunde und Familie zugreifen können, aber auch ein privates Twitter- oder Instagram-Profil.

Allerdings dürften diese Voraussetzungen auf die wenigsten Seiten zutreffen. "Fast jede Website ist von der DSGVO betroffen", sagt Rechtsanwalt Thomas Schwenke, der sich mit Datenschutz befasst. Schon eine Kommentarspalte oder ein Kontaktformular reichen aus, damit ein Onlineauftritt unter die EU-Verordnung fällt. Schließlich werden beim Abschicken einer Anfrage Angaben wie die E-Mail-Adresse oder der Name der Person verarbeitet und gespeichert. Genau solche Informationen dürfen laut DSGVO jedoch nur mit der Zustimmung der Nutzerinnen geteilt werden. Denn es handelt sich um eine erlaubnispflichtige Verarbeitung, über die Nutzer zudem in der Datenschutzerklärung aufgeklärt werden müssen. Selbst eine freiberufliche Webdesignerin mit einer statischen Website, die ein paar Informationen über das Portfolio enthält, kommt also um die Verordnung nicht herum.