Damian Duchamps' Blog

Seit Wochen schon habe ich auf dieser Website eine Datenschutzerklärung und ein Impressum, nicht einfach so, sondern weil ich mich mit der Thematik auseinandergesetzt habe. Mit diesem kleinen Beitrag möchte ich kurz erklären, warum ich mir bei dieser kostenlosen WordPress.com Website keine Sorgen mache, in irgendeinen Konflikt mit den neuen Vorgaben der Datenschutz Grundverordnung zu kommen. Meine Darstellung in einem Google Doc hat einige Diskussion ausgelöst, zu Recht. Denen, die diese Darstellung in Frage gestellt haben, möchte ich hiermit danken. Es war wohl etwas zu sehr vereinfacht und auch sachlich nicht korrekt. Ich betrachte im Folgenden nur die WordPress.com free Variante. Zum Personal Plan schreibe ich am Schluss etwas.

Die beiden Fragen, um die es hier vor allem geht, sind:

1. Brauche ich für eine kostenlose WordPress Seite eine Datenschutzerklärung und wenn ja, wie muss sie aussehen?

2. Kann ich bei einer kostenlosen WordPress Seite wegen fehlender oder fehlerhafter Datenschutzerklärung abgemahnt oder mit einem Bußgeld belegt werden?

Die Datenschutzerklärung ist im Zusammenhang mit der Informationspflicht nach der DSGVO zu sehen.

Was sagt die DSGVO zum Thema Informationspflicht?

Nach der Datenschutz Grundverordnung haben Bürger der EU ein Recht darauf, informiert zu werden, wenn personenbezogene Daten direkt bei ihnen erhoben werden (Art. 13 DSGVO). Das ist bei einer WordPress Seite sicherlich der Fall, auch bei einer kostenlosen. Gemäß Art. 12 DSGVO trifft der Verantwortliche „geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln„.

Es geht hier um den Verantwortlichen. Die Frage ist nun, wer ist bei der kostenlosen WordPress Variante der Verantwortliche?

Wie definiert die DSGVO einen Verantwortlichen?

Nach Art. 4 Abs 7 meint „„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;“

Der normale Blogger ist in der Regel eine natürliche Person. Wird die WordPress Seite von mehreren Personen betrieben, hat man mehrere natürliche Personen. Entscheiden diese nun tatsächlich alleine bzw. gemeinsam? Um das beurteilen zu können, muss man sich näher mit WordPress und seiner Verarbeitung von personenbezogenen Daten beschäftigen.

Kontrolle über die „Zwecke und Mittel der Verarbeitung von personenbezogenen Daten“

Kontrolle durch den Seitenbetreiber

Bei einem kostenlosen WordPress hat die Person, welche es betreibt, im Vergleich zu selbst gehosteten oder dem Premium und Business Paket nur eine stark beschränkte Möglichkeit, die Verarbeitung von personenbezogenen Daten zu beeinflussen.

Funktionen

Dazu gehört:

• Kommentare zulassen oder abschalten
• Bei aktivierter Kommentarfunktion, Angabe von E-Mail und Name einfordern
• Kommentare nur nach Nutzerregistrierung zulassen
• Kommentare moderieren
• Nutzerregistrierung zulassen oder abschalten
• Kommentare verfolgen aktivieren oder deaktivieren
• Blog folgen aktivieren oder deaktivieren
• Social Media Sharing aktivieren

Zusatzfunktionen

Außerdem ist es möglich, über Wigets zusätzliche Funktionen zu aktivieren, welche eine zusätzliche Erhebung und Verarbeitung personenbezogener Daten zur Folge haben. Dazu gehören die Einbindung:

• einer Google Maps Karte mit dem eigenen Standort
• einer Google Translate Funktion
• des eigenen Instagram
• des eigenen Goodreads
• der Twitter Timline
• von Google Videos
• der Funktion dem Blog per E-Mail zu folgen
• einer Newsletter Funktion über MailChimp
• eines EventBrite Calenders

Kontrolle durch Automattic/Worpress

Sämtliche Basisfunktionen können jedoch nicht beeinflusst werden. Hier bestimmt alleine WordPress über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Dazu gehört:

• die Erfassung und Auswertung der User IP und weiterer Daten zu Browser, Betriebssystem, Ort, Zeit, …
• die Schaltung von Werbung
• das Setzen von Cookies, soweit sie nicht mit den oben genannten Funktionen zusammenhängen
• das Nutzung von Google Web Fonts
• die Auswertung mit Google Analytics
• die Verarbeitung der Daten auf Servern mit unbestimmter Lokalität
• das Tracking durch diverse in WordPress integrierte Dienste

Diese Kontrolle über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten durch WordPress geht weit über die hinaus, die ein normaler Hoster hat, wenn man dort sein WordPress installiert. Selbst wenn der Betreiber der WordPress Seite keinerlei Gewinnerzielungsabsicht verfolgt, so ist ganz klar, dass WordPress diese verfolgt und genau dafür auch sehr gezielt Daten der Besucher und Nutzer der kostenlosen WordPress Seiten verarbeitet, spricht auswertet.

Was bedeutet das nun für die Verantwortlichkeit?

Aus der bisherigen Beschreibung sollte klar geworden sein, dass der Betreiber der kostenlosen WordPress Seite definitiv nicht alleine die Verantwortung trägt. Er trägt aber zumindest einen Teil der Verantwortung trägt für die Verarbeitung von personenbezogenen Daten der Besucher und Nutzer seiner Seite. Der andere Teil der Verantwortung liegt jedoch eindeutig nicht bei ihm, sondern bei Automattic, der Firma hinter WordPress.com.

Wenn der Betreiber einer WordPress Seite sämtliche Funktionen deaktiviert, die zu einer Verarbeitung von personenbezogenen Daten führen und keine Zusatzfunktionen aktiviert, könnte man argumentieren, dass er dann im Sinne der DSGVO auch nicht mehr als Verantwortlicher über „Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;„. Anders herum könnte man jedoch argumentieren, dass wer entscheidet, ob bestimmte personenbezogene Daten nicht verarbeitet werden oder nicht, indem er Funktionen von WordPress deaktiviert bzw. nicht aktiviert, damit auch ein Verantwortlicher ist.

Ich bin nicht der Meinung, dass man eine Verantwortung für sämtliche auf einer kostenlosen WordPress Seite verarbeiteten Daten der Person zuweisen kann, welche die Seite betreibt, weil sie sich entschieden hat, dieses Angebot für das Betreiben ihrer Website zu nutzen. Das „vertragliche“ Verhältnis von WordPress Website Betreiber und Automattic entspricht auch keiner klassischen Auftragsverarbeitung, da Automattic dem Betreiber der Website gegenüber nicht weisungsgebunden ist.

Der Betreiber trägt so, gemäß der Definition der DSGVO, gemeinsam mit Automattic die Verantwortung.

Was bedeutet das nun in Bezug auf eine Datenschutzerklärung?

Es ist also definitiv zu empfehlen, dass der Betreiber einer kostenlosen WordPress Seite eine Datenschutzerklärung in seine Seite integriert und darüber hinaus (nach aktuellem Stand, Mai 2018) bei den Widgets auch die Anzeige des EU Cookie Law Banners aktiviert.

Wie diese Datenschutzerklärung nun aussehen sollte, hängt nach meiner Einschätzung sehr davon ab, wie viel Einfluss man als Betreiber der Website auf die Erhebung und Verarbeitung von personenbezogenen Daten der Besucher und Nutzer nimmt.

Keine Funktionen aktiviert = weniger verantwortlich

Wer alle Funktionen abschaltet, die zu einer Erhebung und Verarbeitung von personenbezogenen Daten führen (keine Kommentare, kein Folgen, …), und auch keine Widgets aktiviert, die dieses zur Folge haben, ist zwar (mit großer Wahrscheinlichkeit) noch immer ein Verantwortlicher nach der DSGVO, kann jedoch für den größeren Teil der Verantwortlichkeit auf WordPress/Automattic verweisen.

Entsprechend sollte die Datenschutzerklärung auf die Tatsache hinweisen, dass es sich bei der Website um eine kostenlose WordPress Site handelt und dass dort durch den Anbieter Automattic personenbezogenen Daten erhoben und verarbeitet werden, dass man darauf jedoch keinen Einfluss hat und man sich entsprechend zur Wahrnehmung seiner Rechte auf Auskunft, Löschung und Sperrung an Automattic wenden muss. Das alles wird durch einen Link zur Datenschutzerklärung von Automattic ergänzt.

Es ist sicher kein Fehler, wenn man einige grundlegende Informationen zum Datenschutz angibt bezüglich SSL, Cookies, Referrer und Server Logfiles.

mehr Funktionen aktiviert = mehr Verantwortung

Wer in seiner kostenlosen WordPress Site einige oder alle der oben beschriebenen Funktionen aktiviert lässt bzw. aktiviert und/oder Zusatzfunktionen in Betrieb nimmt oder möglicherweise auch Affiliate Links einbindet, der trägt damit ganz eindeutig Verantwortung. Entsprechend ist der Betreiber verpflichtet, den Besuchern und Nutzern seiner Seite alle nach der DSGVO erforderlichen Informationen bezüglich der Verarbeitung von personenbezogenen Daten zu geben. Das heißt, es muss eine Information zu jeder aktiven Funktion und der damit verbundenen Verarbeitung von personenbezogenen Daten in die Datenschutzerklärung aufgenommen werden: die Kommentar Funktion, die Folgen Funktion, die Benachrichtigung über neue Posts per E-Mail Funktion usw. Je nach Funktion ist auch ein Hinweis auf eine Datenübermittlung an Dritte erforderlich.

Ganz egal, welche Funktionen des kostenlosen WordPress man nutzt, ein Hinweis auf die Datenschutzerklärung von WordPress.com ist immer unverzichtbar.

WordPress Personal Plan

Der Personal Plan von WordPress kostet Geld. Die Zahl der angebotenen Funktionen ist etwas größer, die Möglichkeit auf die Verarbeitung von personenbezogenen Daten Einfluss zu nehmen, damit auch. Sehr weit scheinen sich die Einflussmöglichkeiten vom kostenlosen WordPress in Bezug auf personenbezogene Daten jedoch nicht zu unterscheiden. Von daher sollten die Angaben zum kostenlosen WordPress sich weitestgehend übertragen lassen. Automattic schaltet hier zwar keine Anzeigen, wird möglicherweise jedoch trotzdem Daten auswerten. Dieses wäre zu prüfen. Falls Automattic wirklich nur Daten im Auftrag des zahlenden Kunden verarbeitet, wäre auch ein Vertrag zur Auftragsverarbeitung abzuschließen.

Spielt die Gewinnerzielungsabsicht eine Rolle bezüglich einer Datenschutzerklärung?

Ist der Betrieb einer Website mit einer Gewinnerzielungsabsicht verbunden, so leitet sich daraus nicht direkt die Erfordernis nach einer Datenschutzerklärung ab. Dieser Punkt ist eher von Bedeutung, wenn es um die Impressumspflicht geht. Bindet man beispielsweise Affiliate Links zu Amazon ein, so ergibt sich darauf, egal ob dieses bei einem kostenlosen oder kostenpflichtigen WordPress erfolgt, die Erfordernis, in der Datenschutzerklärung auf die damit verbundene Erhebung und Verarbeitung von personenbezogenen Daten hinzuweisen. Gleiches gilt, wenn ich ein Analytics Tool nutze, um die Inhalte meiner Seite mit dem Ziel einer besseren Bewerbung eines Buches zu optimieren. Ein anderes Thema sind jedoch Abmahnungen.

Kann man für eine kostenlose WordPress Website abgemahnt oder mit Bußgeld belegt werden?

Solange man eine Webseite ohne kommerzielle Interessen betreibt, gibt es für andere kaum Angriffsfläche.

Abmahnungen

Ohne kommerzielle Interessen bzw. Gewinnerzielungsabsicht ist kein Verstoß gegen das Wettbewerbsrecht möglich. Abmahnungen könnten höchstens das Urheberrecht betreffen oder die Verletzung von Persönlichkeitsrechten.

Bußgeld

Eine Beschwerde bei den Aufsichtsbehörden ist eigentlich nur dann zu erwarten, wenn über die Webseite gegen Vorgaben der Datenschutzgesetzgebung verstoßen wird. Das könnte der Fall sein, wenn man beispielsweise einer Löschaufforderung nicht nachkommt oder man ohne Information der Betroffenen und ohne rechtliche Grundlage gesammelte Nutzerdaten (z.B. E-Mail Adressen, Namen) an Dritte verkauft oder für unerwünschte Werbemails nutzt. Auch das Fehlen einer Datenschutzerklärung selbst könnte durchaus ein Beschwerdegrund sein, vor allem, wenn die Website sich nicht auf die grundlegenden Funktionen beschränkt und nicht sämtliche Optionen ausgenutzt wurden, die Erhebung und Verarbeitung von personenbezogenen Daten auf das Minimum zu begrenzen (siehe oben).
Sollte es zu einer Beschwerde bei den Aufsichtsbehörden kommen, so ist auch hier mit einem Bußgeld nicht in jedem Fall zu rechnen. Zunächst würde eine Stellungnahme eingefordert. Dann gäbe es immer noch Zeit und Gelegenheit, zu reagieren und Veränderungen vorzunehmen, falls dieses möglich ist.
Solange man auf die Datenschutzerklärung des Anbieters verweist und in der eigenen Datenschutzerklärung die Datenerhebung durch den Anbieter so gut wie möglich erklärt, sollte man der Verpflichtung zum Führen einer Datenschutzerklärung ausreichend nachgekommen sein.
Die Wahrscheinlichkeit, dass man durch Veröffentlichung von Daten über die Webseite auf Schadensersatz verklagt werden kann, ist ebenfalls sehr gering, vor allem dann, wenn man keine Nutzerdaten, etwa solche, die über die Kommentarfunktion erhoben werden (zum Beispiel Nutzername und E-Mail-Adresse) veröffentlicht.

Schadenersatz

Nichts ist unmöglich. Im Prinzip wäre es auch denkbar, egal ob eine Website auf dem kostenlosen WordPress betrieben oder selbst gehostet wird, dass aus einem Verstoß gegen die Vorgaben der DSGVO auf einer Website eine Schadensersatzforderung abgeleitet wird, weil dem Betroffenen ein Schaden entstanden ist.

Fazit

Nachdem ich mich jetzt noch einmal sehr intensiv mit dem Thema beschäftigt habe und dank der Einwendungen und Anregungen von Andreas Kalt, Axel Krommer, Armin Hanisch, Bildungsdings und Maik Riecken sollte ich mit diesem Beitrag jetzt mehr Klarheit in das Thema gebracht haben.

Auch bei kostenlosen WordPress Seiten sollte man eine Datenschutzerklärung haben, die zumindest in Grundzügen erklärt, dass die Seite kostenlos genutzt wird, es dadurch in bestimmten Bereichen keinen Möglichkeiten gibt, die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten zu beeinflussen und in diesem Bereich die Datenschutzerklärung von Automattic gilt. Außerdem sollten für alle Funktionen, die man als Betreiber der Seite selbst beeinflussen kann, soweit man sie nutzt, in der Datenschutzerklärung Informationen gegeben werden. Und da ich es auf dieser Seite entsprechend halte mit der Datenschutzerklärung (und dem Impressum) mache ich mir keine Sorgen.

Nachtrag

• Automattic, der Betreiber von WordPress.com, hat in der Zwischenzeit unter Automattic and the General Data Protection Regulation (GDPR) umfangreiche Informationen zum Thema Datenschutz in Bezug auf die Funktionen von WordPress und zugehörigen Modulen veröffentlicht. Die Informationen kann man nutzen, um die eigene Datenschutzerklärung anzupassen.
• Auch einen AV Vertrag kann man von Automattic jetzt anfordern, allerdings nur für kostenpflichtige Angebote und nicht für kostenlose WordPress Sites – Automattic and the General Data Protection Regulation (GDPR) »Data Processing Agreements
• Im Blick behalten sollte man als Betreiber einer kostenlosen WordPress Site, wie das EuGH-Urteil C-210/16 sich zukünftig auswirken wird. In diesem Urteil war festgestellt worden, dass bei Facebookseiten den Seitenbetreibern und Facebook eine gemeinsame Verantwortung zukommt. Dieses wurde von der Datenschutzkoferenz bestätigt. Da es zwischen kostenlosen WordPress Seiten und Facebookseiten durchaus Ähnlichkeiten gibt, könnte das Urteil zukünftig, je nach Auslegung durch die Gerichte, auch Folgen für die Betreiber von Seiten wie dieser hier haben. Mehr unter: Update: Entschließung der DSK zum EuGH-Urteil C-210/16 im Hinblick auf eine gemeinsame Verantwortung von Facebook und Seitenbetreibern – Spoiler: Sie müssen was tun (2018/06/06)