Alles ganz logisch: Die DSGVO für Autorinnen und Autoren – und wie Sie das Gesetz umsetzen

Am 25. Mai 2018 wurde in ganz Europa ein Gesetz umgesetzt, das schon seit zwei Jahren galt – die berüchtigte Datenschutz-Grundverordnung (DSGVO). In Deutschland gelten sehr ähnliche Paragrafen sogar schon seit 2009, dank des Bundesdatenschutz-Gesetzes, das für die europaweit gültige DSGVO ein wichtiges Vorbild war.

Die DSGVO kommt also nicht plötzlich, und es ändert sich auch nicht alles. Trotzdem herrscht bei manchen Website-Betreibern Panik, die bis hin zu der Kurzschlussreaktion “ich schalte meine Website ab” geht. Woran liegt das?

  1. Es kursieren sehr viele falsche Gerüchte und Halbwahrheiten über die DSGVO.
  2. Die DSGVO ist, wie wohl leider jedes Gesetz, in nicht wirklich verständlicher Sprache formuliert.
  3. Es fehlt an Verständnis für den Zweck des Gesetzes.

DSGVO – was soll das überhaupt?

Die DSGVO dient dem Verbraucherschutz. Sie möchten nicht, dass Facebook Ihre Daten von Cambridge Analytica missbrauchen lässt. Sie möchten vermutlich auch nicht, dass Dritte mit Ihren Daten Handel treiben. AutorInnen profitieren als Verbraucher von der DSGVO, weil Firmen beim Umgang mit Ihren Daten enge Grenzen gezogen werden.

Nun sind AutorInnen aber nicht nur Verbraucher. Wenn Sie mit Ihren Lesern, Ihren Kunden in Verbindung treten, stehen sie plötzlich auf der anderen Seite. Wie jeder Unternehmer (das sind Sie auch als Freiberufler) müssen Sie den Menschen, deren Daten Sie verarbeiten, Rede und Antwort stehen. Vor dem Gesetz sind alle gleich, ob nun Megakonzern oder Schreibender.

Aber das ist kein Problem. Es ist eine Chance. Vielen AutorInnen war bisher gar nicht bewusst, dass sie Daten erheben und an wen sie diese weitergeben. Die DSGVO zwingt dazu, sich damit zu beschäftigen. Und das kann sehr interessant sein, auch und gerade unter dem Aspekt, dass Sie als Verbraucher ja wohl auch ein Interesse an einer vernünftigen Behandlung Ihrer eigenen Daten haben.

Was fordert die DSGVO konkret?

Das komplette Gesetz lässt sich auf drei Forderungen reduzieren, deren Umsetzung wir im folgenden genauer ansehen werden.

  1. Sparsame Erhebung von Daten
  2. Transparenz beim Umgang mit den Daten
  3. Schutz der Daten der Nutzer

Schritt 1: Inventur Ihrer Datenerfassung – Verzeichnis von Verarbeitungstätigkeiten

Der allererste Schritt sollte darin bestehen, dass Sie sich überlegen, welche Daten Ihrer Website-Nutzer Sie erfassen – und warum. Das könnte eine solche Liste sein:

  • Die IP-Adresse Ihrer Nutzer (trifft in 99 % der Fälle zu, wird meist beim Hoster (Strato, 1&1, Wix, Jimdo…) automatisch erfasst, bei Google Analytics aber ebenso)
  • E-Mail-Adressen: bei Kommentaren, im Gästebuch, bei Gewinnspielen
  • Physische Adressen: Versand von signierten Büchern, bei Gewinnspielen
  • Geburtsdatum: zum Gratulieren / zur Altersprüfung
  • Kontostand des Lesers

Hilfsmittel zur Recherche der von Ihrer Website übertragenen Daten finden Sie in Schritt 6.

Die DSGVO fordert nun, dass Sie nur Daten erfassen, die Sie aus irgendeinem wichtigen Grund erfassen müssen. Der Kontostand in dem fiktiven Beispiel gehört sicher nicht dazu – den dürfen Sie also nicht speichern. Dem Leser zum Geburtstag zu gratulieren ist zwar nett, aber es muss ganz sicher nicht sein. Wenn Sie jedoch (auch) Bücher für Erwachsene schreiben, könnte das ein Grund sein, das Geburtsjahr zu speichern, um nicht Minderjährigen ungeeignete Informationen zu schicken.

E-Mail-Adressen müssen Sie speichern, wenn ein Nutzer Ihren Newsletter angefordert hat. Bei Kommentaren könnte Spamschutz ein Grund sein. Bei Gewinnspielen brauchen Sie die E-Mail-Adresse nur, bis das Gewinnspiel vorüber ist. Physische Adressen brauchen Sie, wenn Sie etwas verschickt haben. Da Sie die Ausgabe beim Finanzamt geltend machen, müssen Sie auch die Adresse des Kunden speichern, und zwar bis zum Ende der gesetzlichen Frist. Das gilt auch bei den bei Gewinnspielen verschickten Preisen (deren Kosten Sie sich ja vom Finanzamt erstatten lassen).

Generell ist das Gesetz logisch aufgebaut: Speichern Sie nur, was notwendig ist, und zwar nur so lange, wie es notwendig ist.

Zusätzliche Daten können Sie speichern, wenn Ihre Nutzer explizit zugestimmt haben. Diese Zustimmung müssen Sie beweisen können. Und wenn ein Nutzer seine Zustimmung zurückzieht, müssen Sie die entsprechenden Daten löschen.

Überlegen Sie auch, welche Daten Sie wirklich brauchen. Ich habe zum Beispiel festgestellt, dass ich auf Google Analytics sehr gut verzichten kann.

Die Art der erhobenen Daten schreiben Sie am besten in einer simplen Excel-Liste auf. Damit haben Sie auch schon das vom Gesetz geforderte “Verzeichnis von Verarbeitungstätigkeiten” erstellt. Ein Muster stellt der Bundesverband der Datenschutzbeauftragten hier bereit. Einsicht in die Liste erhalten nur die zuständigen Aufsichtsbehörden (auf Anforderung).

Ein Beispieleintrag (bezogen auf das oben verlinkte PDF):

  • Verantwortlich: Ihr Name, Telefon, E-Mail
  • Bezeichnung der Verarbeitungstätigkeit: Besucher-Statistiken
  • Zwecke der Verarbeitung: anonymisierte Statistik
  • Beschreibung der Kategorien betroffener Personen: Website-Besucher
  • Beschreibung der Datenkategorien: IP-Adressen
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offen gelegt worden sind oder noch werden: keine (hier eintragen, falls Sie Ihre Website von Dritten bearbeiten lassen, Techniker, Admin o.ä.)
  • Datenübermittlung findet wie folgt statt:
  • Nennung der konkreten Datenempfänger: Website-Hoster (Strato, 1&1, WordPress, Jimdo…)
  • Verarbeitungsauftrag ist am … abgeschlossen worden
  • Fristen für die Löschung der verschiedenen Datenkategorien: Wöchentlich

Wie verhält es sich mit Ihrer Autorenseite bei Amazon (Authorcentral)? Erfassen Sie dort Daten? Nein, dort erfasst Amazon Daten, Sie bekommen davon nie etwas zu sehen. Also muss sich dort Amazon um die DSGVO kümmern. Ähnlich verhält es sich mit der Fan-Seite bei Facebook. Da Nutzer dort allerdings mit Ihnen in Kontakt treten können, sollte ein Hinweis auf Ihre Datenschutzerklärung nicht fehlen. Das gilt dann besonders auch für Gewinnspiele, bei denen Sie um Kontaktaufnahme bitten.

Schritt 2: Wer kommt noch an die Daten? Verarbeitungsaufträge abschließen

In Ihrer persönlichen Datenliste aus Punkt 1 gibt es ganz gewiss Daten, die nicht bei Ihnen bleiben, sondern die an andere Unternehmen übermittelt werden. Das sind immer die IP-Adressen, die Ihr Hoster sammelt. Oft sind es auch E-Mail-Adressen, die Ihr Newsletter-Provider sammelt. Mit allen Firmen, die in Ihrem Auftrag Daten verarbeiten, müssen Sie einen Verarbeitungsauftrag (englisch: data processing agreement) abschließen. Die meisten deutschen Anbieter und viele große internationale Firmen wissen das schon. Bei den Hostern wie Strato oder 1&1 liegen diese Verträge in Ihrem Account bereit, bei Mailchimp finden Sie den Vertrag hier, bei Jimdo hier.

Schwierig kann es bei kleineren Firmen im Ausland werden, die wenige EU-Kunden haben. Fragen Sie dann beim Support nach einem “data processing agreement according to the European gdpr legislation”. Ohne diesen Vertrag dürfen Sie Daten Ihrer Kunden nicht weitergeben, müssen also die Zusammenarbeit mit diesen Firmen beenden.

Schritt 3: Daten der User schützen – https aktivieren

Die DSGVO fordert, dass Sie Daten Ihrer Nutzer bestmöglich schützen. Datenübermittlung sollte im Web immer verschlüsselt erfolgen. Viele Browser bezeichnen Websites mit unverschlüsselter Übertragung (am “http://” zu erkennen) längst als unsicher. Schon deshalb hätten Sie längst auf die Alternative https umstellen sollen (die Selfpublisherbibel, Asche auf mein Haupt, nutzt noch http). Das ist bei den meisten Hostern kostenlos und wird auf den Hilfeseiten Ihres Hosters erklärt. Manche (wie etwa WordPress.com) aktivieren es schon von sich aus. Wenn Sie Ihre Seite selbst unter WordPress oder einem anderen CMS betreiben, müssen Sie aktiv werden.

Schritt 4: Nutzer-Genehmigungen einholen

Beim Newsletter ist in Deutschland schon seit langem Double-Optin Pflicht. Dabei bleibt es auch. Wer Ihren Newsletter haben will, muss ihn also erst unter Angabe der Adresse anfordern und dies dann über eine Bestätigungsmail noch einmal bestätigen. Die Newsletter-Provider erfassen den Zeitpunkt der Zustimmung, das ist also kein Problem. Nur in dem Fall, dass Sie den Newsletter per Hand pflegen und per normaler Mail versenden, müssen Sie also etwas ändern (ich würde von solchen Newslettern sowieso abraten).

Bestehende Einwilligungen gelten übrigens weiter, Sie müssen Ihren Newsletter also nicht neu anlegen!

Wenn Sie eine Kommentarmöglichkeit anbieten, können Sie bei Verwendung von WordPress den Nutzer sehr leicht zur Genehmigung des Erfassens seiner Adresse auffordern, indem Sie das kostenlose Plugin WP GDPR Compliance verwenden.

Genehmigungen müssen freiwillig sein und dürfen nicht voreingestellt sein – der Nutzer muss das Häkchen selbst setzen.

Schritt 5: Nutzer informieren – die Datenschutzerklärung aktualisieren

Die DSGVO will Transparenz herstellen. Das heißt, Sie müssen den Nutzer in klarer Sprache darüber informieren, welche seiner Daten wie und eventuell von wem verarbeitet werden und welche Rechte er diesbezüglich hat (dazu gehört das Recht, die über ihn gespeicherten Daten einzusehen und löschen zu lassen – wenn dem rechtlich nichts entgegensteht).

Als Grundlage empfehle ich den kostenlosen Generator der Deutschen Gesellschaft für Datenschutz, den Generator von mein-datenschutzbeauftragter.de oder den Generator von ActiveMinds.

Sie verwenden einen Dienst, der dort nicht abgefragt wird? Dann nutzen Sie einen anderen Dienst als Vorlage. Also etwa so:

Wir verwenden zum (Zweck der Verarbeitung) die Komponente X (Name des Dienstes). Bei X handelt es sich um eine Dienstleistung der Firma (Name und Adresse der Firma) mit dem Zweck … . Wir haben mit der Firma … einen Verarbeitungsauftrag abgeschlossen.

Ihre bei (Anlass) gespeicherten Daten (Aufzählung der Daten) werden an einen Server der Firma (Name) in den (Land) übertragen und dort unter Beachtung des „EU-US Privacy Shield“ und der DSGVO gespeichert und verarbeitet.

Weitere Informationen zum Datenschutz bei Firmenname finden Sie unter: (URL der Datenschutzerklärung der Firma).

Eine Alternative wären bezahlte Generatoren, etwa von eRecht24. Demnächst folgt noch ein Vergleich solcher Dienste.

Wichtig: Sie müssen die Datenschutzerklärung so einbinden, dass Ihre Nutzer sie auch von jeder Unterseite aus sehen, also genauso prominent wie das Impressum.

Schritt 6: Datendiebe abschalten – unnötige Übermittlung verhindern

Nicht alle Übermittlungen von Daten finden mit Ihrem Wissen statt. Überprüfen Sie Ihre Website doch einmal mit dem kostenlosen Ghostery-Plugin für diverse Webbrowser. Dieses Tool zeigt Ihnen, wohin Daten übermittelt werden. Mit dem Webbrowser Chrome können Sie auf Ihrer Website nach einem Rechtsklick “Untersuchen” aufrufen. Danach klicken Sie rechts auf “Sources”, dann zeigt Ihnen der Browser an, von welchen externen Websites sich Ihre Website außerdem Daten holt.

Ich kann an dieser Stelle nicht für jedes CMS und jeden Fall Hinweise geben, wo Sie auf welche Weise tätig werden müssen. Aber es gibt es ein paar oft auftauchende Übeltäter. Diesen Punkt würde ich mir allerdings für den Schluss aufheben, da hier noch vieles in Arbeit ist.

Google Analytics: Den Verarbeitungsauftrag finden Sie hier. Außerdem sollten Sie die Übertragung von IP-Daten anonymisieren (bei WordPress u.a. mit diesem Plugin möglich)

Soziale Medien: Wenn Sie Buttons oder Skripte sozialer Medien einsetzen, werden oft schon beim Laden Ihrer Seite Daten an diese Dienste übermittelt, also bevor Ihre Nutzer überhaupt Gelegenheit hatten, dem zuzustimmen. Das können Sie unter WordPress mit dem kostenlosen Shariff-Plugin verhindern.

Gravatare, Emojis: Derzeit werden sowohl die User-Bildchen als auch Emojis direkt vom Server der Firma Automattic geladen. Das soll sich allerdings spätestens in WordPress 4.9.7 und rechtzeitig vor Ende Mai ändern, so der aktuelle Plan der WordPress-Programmierer.

Jetpack-Plugin für WordPress: Dieses gern verwendete Plugin besitzt diverse Funktionen, für die Daten an die Firma Automattic übertragen werden. Die Firma ist allerdings dabei, diesen Vorgang DSGVO-kompatibel zu gestalten. Jetpack 6.0 hat aktuell bereits einen Bereich “Privacy” im Dashboard, der bis Ende Mai noch ausgebaut werden soll.

Google Fonts: Manche Themes laden Fonts direkt vom Google-Server. Dabei werden auch Adressen Ihrer Nutzer übertragen. Mit dem Plugin Disable Google Fonts können Sie das verhindern (aber auch die Fonts nicht mehr nutzen). Tatsächlich arbeiten die verantwortlichen Programmierer aber an einem GDPR-Update.

Spam-Schutz: Plugins wie Akismet oder Antispam Bee vergleichen IP-Adressen von Kommentatoren mit Datenbanken bekannter Spammer. Dazu müssen Sie die IP-Adressen aber ins Netz übertragen. Bei Antispam Bee kann man den Abgleich jetzt schon verhindern, bei Akismet verspricht der Hersteller baldige GDPR-Kompatibilität.

Werbe-Netzwerke: Sobald Sie Skripte von Drittanbietern einbinden (das gilt sowohl für Google Adwords als auch das Amazon Partnernet) riskieren Sie eine Übertragung der Daten Ihrer Nutzer. Sie brauchen also einen Verarbeitungsauftrag und die Zustimmung der Nutzer. Für reine Links (etwa von Amazon) gilt das aber nicht!

Facebook-Pixel: Die Tracking-Pixel von Facebook werden ohne vorherige Nutzer-Genehmigung eingebunden und sind in Zukunft so nicht mehr einsetzbar.

E-Book-Einbettungsfunktion von Amazon: Kindle-E-Books lassen sich mit der Funktion “Einbetten” samt Leseprobe in die eigene Website einfügen. Dadurch werden allerdings ungefragt IP-Adressen an Amazon übertragen – und Sie bräuchten einen Verarbeitungsauftrag mit Amazon. Ob es den geben wird, ist noch nicht klar. Bis dahin können Sie gefahrlos nach dem Klick auf “Einbetten” den Link unter “Link (URL) abrufen” benutzen und ihn über das (selbst gehostete) Cover verlinken.

Entwarnung: Falsche Gerüchte

Wie beim Spiel “Stille Post” machen auch falsche Gerüchte die Runde. Diese entstehen oft aus einer Übertreibung richtiger Fakten. Hier, was mir bisher begegnet ist:

  • Ich darf keine Daten ins Nicht-EU-Ausland transferieren (falsch, wenn der Empfänger sich – wie die meisten Unternehmen mit vielen EU-Kunden – an die DSGVO hält und ich einen Verarbeitungsauftrag abgeschlossen habe)
  • Ich darf keine Amazon-Partner-Links mehr verwenden (falsch – nur Skripte sind problematisch, wenn Bilder vom Amazon-Server geladen werden)
  • Ich muss alle externen Links auf https umstellen (falsch – ein korrekt konfigurierter Server nutzt automatisch https)
  • Ich muss bei allen Links darauf achten, ob der Zielserver sich an die DSGVO hält (falsch, ich bin nicht für fremde Websites verantwortlich)
  • Ich muss alle erhobenen Daten in einer Liste erfassen (falsch – ich muss nur die Art der erhobenen Daten in einem Verzeichnis erfassen)
  • Ich darf nicht mehr mit Geschenken für Newsletter-Abos werben (falsch)

Fazit

Mit den oben beschriebenen sechs Schritten erreichen Sie als AutorIn sehr wahrscheinlich eine Umsetzung der DSGVO (eine Garantie gibt es nicht). Ich gehe dabei davon aus, dass Sie Ihre Leser per Website und Newsletter über Ihre Bücher informieren und dass Sie bei der Analyse vorhandener Plugins gründlich sind. Es kommen weitere Pflichten auf Sie zu, wenn Sie zum Beispiel einen eigenen Shop betreiben oder das Einrichten von Nutzer-Profilen (etwa für ein allgemeines Diskussionsforum) ermöglichen.

Und wenn ich mich nicht daran halte?

Hier gibt es zwei Gefahren. Zum einen sind bei mangelnder Umsetzung Strafen vorgesehen, und zwar bis in Höhe von 4 Prozent des Jahresumsatzes. Allerdings sind die für die Aufsicht zuständigen Datenschutzbehörden stark unterbesetzt – warum sollten sie sich zuerst ein paar AutorInnen vornehmen? Und nur die Datenschutz-Behörden können solche Strafen verhängen.

Die größere Gefahr könnten Abmahn-Anwälte sein. Ob das eine reale Gefahr ist, wird man sehen. Nach der Einführung des Telemediengesetzes mit seiner Impressumspflicht für Websites gab es tatächlich eine Abmahnwelle. Allerdings lohnen sich solche Massen-Abmahnungen heute weniger als damals, dazu gab es einige Urteile. Abmahn-Anwälte können aber generell nur beurteilen, was sie sehen. Das betrifft damit vor allem die Datenschutz-Erklärung, die auf jeden Fall vollständig sein muss, und die Übertragung persönlicher Daten per https. Typische Kosten bei einer Abmahnung liegen im oberen dreistelligen Bereich. Es gibt diverse Versicherungen, die davor schützen bzw. dann die Kosten übernehmen (und selbst ab ca. 10 € pro Monat kosten).

Dieser Eintrag wurde unter Tipps,Wissen veröffentlicht und mit verschlagwortet. Lesezeichen für Permalink hinzufügen.