Die DSGVO hat für viel Unsicherheit gesorgt. Es sollte zwar keine Abmahnungen geben, aber das hat viele Anwälte nicht interessiert. In diesen wurden Summen von bis zu 12.500 EUR gefordert. Das ist zwar utopisch und vermutlich auch nicht durchzusetzen, aber auch kleine Fehler können finanziell schaden. Wir zeigen die wichtigsten Abmahngründe und wie man sie vermeiden kann. Da ich kein Anwalt bin, kann dieser Artikel natürlich keine Rechtsberatung darstellen oder ersetzen. Da ich mich aber intensiv mit dem Thema beschäftige und täglich Meldungen diverser Kanzleien und Urteile sammle, gebe ich an dieser Stelle meine eigenen Erfahrungen weiter.
Fehlendes oder unvollständiges ImpressumDieser Punkt sollte eigentlich jedem klar sein, aber zum Aufwärmen fangen wir ganz locker an. Zudem gibt es immer noch Webseiten, die kein oder nur ein unvollständiges Impressum haben. Auch private Webseiten sollten ein Impressum haben. Oft fühlt man sich auf der sicheren Seite, weil man ja keine Firma ist und mit seiner Webseite auch kein Geld verdient. Allerdings reicht hier schon ein kleiner Werbeblock über Google AdSense und der Richter kann dem Abmahner Recht geben. Derzeit sollte ein Impressum folgende Angaben enthalten:
- Name und Anschrift des Anbieters / Name des Vertretungsberechtigten bei juristischen Personen oder Personengesellschaften
- Angaben für eine schnelle elektronische Kontaktaufnahme und zur Kommunikation (Telefonnummer, Email Adresse). Das BGH hat am 25. Februar 2016 (AZ: I ZR 238/14) entschieden, dass es sich dabei auch nicht um eine kostenpflichtige Sonderrufnumer handeln darf, die über dem Grundtarif liegt.
- Geht man einer zulassungspflichtigen Tätigkeit nach, ist die Aufsichtsbehörde anzugeben.
- Register und Registernummer sofern diese erforderlich ist und eine Eintragung erfolgte
- Umsatzsteueridentifikationsnummer / Wirtschafts-Identifikationsnummer
- Pflichten nach dem Rundfunkstaatsvertrag § 55 RStV. Bei journalistisch-redaktionellen Inhalten (z.B. Blog) muss zusätzlich ein Verantwortlicher für die jeweiligen Inhalte genannt werden.
- Link zur EU-Streitschlichtungsplattform (http://ec.europa.eu/consumers/odr/)
Man kann natürlich auch einen Impressum Generator nutzen, mit dem man in der Regel auf der sicheren Seite ist. Allerdings sollte man sein Impressum in regelmäßigen Abständen neu generieren, um neue Gesetze zu berücksichtigen.
Fehlende oder unvollständige DatenschutzerklärungSpätestens seit der DSGVO ist die Datenschutzerklärung in aller Munde. Diese ist sehr komplex und muss den Besucher über die Erhebung und Verwendung von persönlichen Daten informieren, auch wenn diese über Dritte (Plugins etc.) erhoben werden. Der Link zur Datenschutzerkläung muss eindeutig mit dem Text "Datenschutz" oder Datenschutzerklärung" gekennzeichnet und über alle Seiten erreichbar sein. Er darf auch nicht temporär durch Layer verdeckt werden. Aufgrund der Komplexität würde ich mir nicht zutrauen, die Datenschutzerklärung selber zu erstellen. Auch hier gibt es Generatoren im Netz, die die meisten gängigen Konstellationen und Plugins berücksichtigen. In meinen eigenen Blogs nutze ich die Generatoren von WBS Law und ActiveMind. Es spielt auch keine Rolle, ob die Webseite privat oder geschäftlich ist. Eine Datenschutzerklärung ist immer erforderlich!
Weiße Seite / Website under Construction / Coming soonDeine Webseite ist noch in Arbeit und du hast ein Plugin laufen, das eine weiße Seite anzeigt? Vielleicht hast du auch über .htaccsess eine Passwortabfrage erstellt? Wenn du jetzt glaubst, dass in diesem Fall noch keine Datenschutzerklärung erforderlich ist, liegst du falsch. Auch bei einer weißen Seite werden Daten an den Server übertragen und gespeichert. Welche das sind und wie diese verarbeitet werden, muss in einer Datenschutzerklärung mitgeteilt werden.NewsletterNewsletter können ein effektives Marketing-Instrument sein. Als erstes muss man hier wissen, dass ein Empfänger nur in eine Liste aufgenommen werden darf, wenn er dem Newsletterversand explizit zustimmt. Eine einfache Zustimmung ist aber noch nicht ausreichend. Es muss das sogenannte Double Opt-In Verfahren zum Einsatz kommen. Hier muss der Empfänger ein zweites Mal dem Versand zustimmen. In der Regel erfolgt dies durch ein Zusenden einer Mail mit einem Link nach der ersten Zustimmung. Wichtig ist auch, dass die Zustimmung nicht an Geschenke gebunden ist. Wenn man ein Produkt oder eine Dienstleistung in Aussicht stellt, wenn die Einwilligung erteilt wird, kann das durch Konkurrenten abgemahnt werden. Das Geschenk muss als Bonus ganz klar an zweiter Stelle stehen, was natürlich wieder Auslegungssache und damit ein Risiko ist.KommentareEin Blog ohne Kommentare ist kaum vorstellbar. Gibt ein Besucher in einem WordPress Blog einen Kommentar ab, wird auch seine IP Adresse gespeichert. Die Erhebung und Speicherung der IP Adresse lässt sich mit einem Plugin unterbinden. Wer kein zusätzliches Plugin installieren möchte, kann auch die beiden folgenden Zeilen in die functions.php seines Themes eintragen.
function wpb_remove_commentsip( $comment_author_ip ) { return "; }
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );
Künftig werden dadurch keine IP Adressen mehr gespeichert. Bleibt nur noch das Problem der vorhandenen Kommentare. Bei denen steht natürlich immer noch die IP Adresse in der Datenbank. In meinen Blogs habe ich das mit einem kleinen SQL Befehl gelöst, den ich über phpMyAdmin ausgeführt habe.
UPDATE wp_comments SET comment_author_IP = ' ';
Wer sich nicht auf diesem Wege an die Datenbank traut, kann natürlich auch ein Plugin zum Entfernen der IP in Kommentaren nutzen.
Auf die erhobenen Daten über Kommentare muss in der Datenschutzerklärung hingewiesen werden. Allerdings reicht das noch nicht aus. Bevor ein Besucher seinen Kommentar absenden kann, muss er aktiv seine Einwilligung zur Datenverarbeitung erteilen. Das kann über eine Checkbox erfolgen, die nicht vorausgewählt sein und ohne deren Aktivierung das Formular nicht abgeschickt werden darf. Dafür nutze ich in meinen Blogs das Plugin WP GDPR Compliance.
Avatare in KommentarenIn einer WordPress Standard Installation ist das Anzeigen von Avataren aktiviert. Dabei wird je nach Einstellung allerdings auf externe Server zugegriffen und Daten möglicherweise auch ins Ausland übertragen. Besonders beliebt ist hier beispielsweise das Gravatar-Logo. Sicherheitshalber habe ich Avatare in den WordPress Einstellungen->Diskussion deaktiviert.Spamfilter (WordPress)Kommentarspam kann sehr nervig sein. Nicht selten werden hier Plugins genutzt, die solchen Spam auf unterschiedliche Weise unterbinden. Wird dabei auf externe Spandatenbanken zugegriffen, muss darauf in der Datenschutzerklärung hingewiesen werden. In Bezug auf die DSGVO hat sich das Plugin Antispam Bee bewährt. Mit den voreingestellten Werten ist es jedoch auch nicht unproblematisch. Um sicher zu gehen, müssen "IP-Adresse des Kommentators validieren", "Kommentare aus bestimmten Ländern blockieren oder zulassen" und "Kommentare nur in einer bestimmten Sprache zulassen" deaktiviert werden. Diese Features nutzen externe Server und übertragen Daten.(Kontakt-)FormulareKontaktformulare haben seit der DSGVO bereits für einige Abmahnungen gesorgt. Zum einen muss auch hier wie bei den Kommentaren die Einwilligung zum Übertragen der Daten eingeholt werden (WP GDPR Compliance oder ähnliche Plugins) und zum anderen muss die Webseite über SSL verschlüsselt sein. Wie das kostenlos möglich ist, habe ich in einem anderen Artikel beschrieben.Google FontsMit den unzähligen Google Fonts lässt sich eine Webseite mit einem schönen Schriftbild gestalten. Dazu benötigt man lediglich ein Plugin oder bindet den Font einfach im Header seiner Webseite ein. Natürlich erhält Google daurch im Gegenzug Daten des Besuchers. Hier gab es bereits Abmahnungen. Wer die Videos vom WBS Law verfolgt, kennt die Geschichte des kleinen Tischlers. Um Google Fonts DSGVO konform einzusetzen, müssen sie lokal gespeichert werden. Im ersten Schritt muss der Font mit allen Schriftschnitten heruntergeladen werden. Am einfachsten geht das über das Tool von Mario Ranftl. Dieses erstellt eine Zip Datei mit allen Dateien, die dann nur noch auf den eigenen Webserver kopiert werden müssen. Auch der Quellcode für die CSS Datei des eigenen Themes kann dort kopiert werden. Wichtig ist dabei, dass der Pfad korrekt ist. Wer einen Ordner /fonts erstellt, kann die Voreinstellungen nutzen.
Im zweiten Schritt müssen wir noch dafür sorgen, dass kein versteckter Aufruf mehr zu Google erfolgt. Dafür gibt es natürlich wieder verschiedene WordPress Plugins. In meinem Fall kommt Remove Google Fonts References zum Einsatz.
UrheberrechtDieses Thema ist sehr komplex und kann hier nur kurz angerissen werden. Das man keine fremden Bilder ohne Erlaubnis nutzen darf, sollte eigentlich jeder wissen. Eine Ausnahme bildet hier das sogenannte Framing oder Embedding. Dabei wird das Bild nicht auf dem eigenen Server gespeichert, sondern direkt von der Quelle eingebunden. Manche Dienste verhindern dies allerdings. Werden Bilder aus Bilderdatenbanken oder von Stockanbietern genutzt, sollten die Lizenzbedingungen sehr genau gelesen werden. Schon kleinste Fehler können teure Abmanhungen zur Folge haben. Ich verwende mittlerweile nur noch Public Domain Bilder, z.B. von pixabay.de. Diese können kommerziell genutzt werden und eine Nennung des Urhebers ist nicht erforderlich. Absolut sicher kann man sich hier zwar auch nicht sein, weil sich auch mal ein Bild einschleichen kann, dass geklaut wurde. Wenn man sich aber an die größeren Anbieter mit zahlreichen Bewertungen hält, ist das Risiko sehr überschaubar. Um noch sicherer zu sein, nutze ich keine Bilder, auf denen Markennamen zu sehen sind. Notfalls entferne ich den Ausschnitt in der Bildbearbeitung, da Public Domain Bilder frei verändert werden dürfen.MarkenrechtMit dem Markenrecht kommt man in Blogs eher selten in Konflikt. Meist haben Shopbetreiber in diesem Bereich mit Abmahnungen zu kämpfen. Markennamen dürfen zwar erwähnt werden und auch Vergleiche sind möglich. Aber es darf nie der Eindruck vermittelt werden, dass es sich dabei um ein Produkt dieser Marke handelt. Wann immer es möglich ist, verzichte ich gänzlich auf die Nennung eines Markennamens. Es gibt hier viel zu viele Fallstricke. Probleme können hier nicht nur von Markeninhabern kommen. Bei häufiger Nennung eines Markennamens oder in einem eindeutigen Zusammenhang (über dessen Bedeutung man sich auch wieder streiten kann) wird man möglicherweise noch von Konkurrenten wegen Schleichwerbung abgemahnt oder bekommt Probleme mit den Behörden.
Wie man sieht, gibt es jede Menge rechtliche Dinge zu beachten. Das deutsche Abmahnsystem macht es noch einmal deutlich schwieriger und vor allem riskanter. Selbst kleinste Fehler oder Unachtsamkeiten können finanziell sehr schmerzhaft sein. Viele Kanzleien machen ihr Geld aber mit ganz offensichtlichen Rechtsverstößen, bei denen man vor Gericht auch keine Chance hat und diese lassen sich größtenteils leicht vermeiden.