Seit dem 25. Mai 2018 gilt in der EU die sogenannte Datenschutz-Grundverordnung (DSGVO). Im Vorfeld wurden in der Berichterstattung viele Ängste geschürt, aber auch die Vorteile für die Nutzer betont. Doch was jetzt eigentlich genau zu beachten ist, darüber herrscht bei vielen immer noch Ratlosigkeit. Wir möchten daher auf unserem Blog zusammenfassen, um was es in groben Zügen geht und was speziell für Musiker zu beachten ist. Vollständigkeit können wir natürlich nicht garantieren!
Warum gibt es die DSGVO?
Mit der Datenschutz-Grundverordnung sollte ein langjähriges Versäumnis korrigiert werden, nämlich, dass Datenschutz im Internet bisher kaum gesetzlich geregelt war. Die Folge war, dass viele Seitenbetreiber hemmungslos Daten ihrer Nutzer sammelten und an Dritte weitergaben, ohne dass diese viel davon mitbekamen oder etwas dagegen unternehmen konnten. Das Problem dabei ist allerdings, dass sich dadurch viele Praktiken als normal eingebürgert haben, die nun verboten sind. Deshalb ist die Umsetzung der DSGVO an manchen Stellen mit einem erheblichen technischen Aufwand verbunden.
Mit der DSGVO soll nun folgender Grundsatz gelten: Jeder Seitenbetreiber muss dem Nutzer klar und deutlich sagen, welche Daten er erhebt, wie er diese speichert, wer Zugriff auf diese Daten hat und welche Daten an Dritte weitergegeben werden. Im Gegenzug muss dem Nutzer das Recht eingeräumt werden, dieser Datenverarbeitung zu widersprechen, und zwar bevor die Daten erhoben werden. Besonders dieser Punkt ist problematisch, wie wir später noch erklären werden.
Welche Probleme bereitet die DSGVO für Seitenbetreiber?
Grundsätzlich könnte man meinen, eine einfache, html-basierte Webseite erhebt keine Daten der Nutzer und ist daher datenschutzrechtlich unbedenklich. Das ist ein großer Irrtum! Zum Beispiel werden schon beim Aufruf der Seite durch den Benutzer Daten von diesem an den Server geschickt, auf dem die Seite gehostet ist. Das ist auch nicht zu vermeiden, da der Server ja mit dem Computer des Nutzers kommunizieren muss. Man kann sich das ganze besser vorstellen, wenn man sich ein Beispiel am analogen Briefwechsel nimmt: Wenn ich jemandem einen Brief mit der Bitte um Antwort (z.B. ein Bild) schicke, werde ich nicht weit kommen, wenn ich ihm nicht wenigstens meine Adresse mitteile. Genauso ist es beim Aufruf einer Seite: Auf dem Server werden bestimmte Informationen wie meine IP-Adresse, mein Browser und mein Betriebssystem gespeichert. Sonst wäre keine Kommunikation möglich.
Komplizierter wird es, wenn man auf seiner Seite Inhalte von Drittanbietern wie Google Maps oder YouTube einbindet. Hier werden oft schon beim Aufruf der Seite Informationen an Google gesendet, ohne dass der Nutzer dem zugestimmt hat. Inzwischen haben viele Drittanbieter reagiert und bieten Möglichkeiten an, wie deren Inhalte datenschutzkonform eingebunden werden können, aber manche Unternehmen, die ihren Firmensitz im Ausland haben, sind technisch gesehen nicht an die DSGVO gebunden und sperren sich auch dagegen, sich an die Regeln freiwillig zu halten.
Was muss ich als Seitenbetreiber beachten?
Es gibt ein paar Punkte, die man beachten muss. Grundsätrzlich braucht jede Internetseite ein Impressum und eine Datenschutzerklärung. Im Impressum muss klar der Seitenbetreiber genannt werden. Es reicht nicht aus, etwa nur einen Firmennamen oder ein Postfach zu nennen. Hier muss der Seitenbetreiber mit vollem (und korrekt geschriebenem!) Namen, Anschrift und Kontaktmöglichkeit stehen. Es gibt viele weitere Fallstricke, über die man als Seitenbetreiber im Impressum stolpern kann. Eine vollständige Auflistung kann hier nicht erfolgen. Eine Beratung zu diesem Thema ist daher sinnvoll. Es gibt aber auch viele Angebote im Internet, die zum Beispiel ein Impressum kostenlos generieren. Damit ist man in den meisten Fällen schon mal auf der sicheren Seite. Eine Impressumspflicht gab es übrigens auch schon vor der DSGVO, jetzt ist sie allerdings noch wichtiger als vorher.
Die Datenschutzerklärung ist ebenfalls elementarer Bestandteil einer jeden Internetseite. Auch hier wäre eine Auflistung aller Punkte zu umfangreich. Wer Lust hat, kann ja mal einen Blick in die Datenschutzerklärung unserer Seite werfen. Wichtig ist bei der Datenschutzerklärung vor allem, dass der Nutzer aus ihr erkennen kann, welche seiner Daten gespeichert und verarbeitet werden.
Wenn man auf seiner Seite einen Online-Shop betreibt, müssen noch mehr Regeln eigehalten werden. Man braucht dann unter anderem Allgemeine Geschäftsbedingungen (AGB). Auch über das Widerrufsrecht des Kunden muss informiert werden. Ein großer Kritikpunkt an der DSGVO war, dass er kleinen Onlineshop-Betreibern eine unzumutbare Menge an zusätzlicher Bürokratie aufbürdet, bei gleichzeitiger Unsicherheit, was überhaupt gesetzeskonform ist. Daher haben sich viele Anbieter (auch wir) dazu entschlossen, ihr Onlineangebot einzustellen und sind lieber auf Verkaufs-Plattformen von Drittanbietern ausgewichen. Wir verkaufen unsere Tickets zum Beispiel mittlerweile über Eventim.
Es empfielt sich, die Pflege der Rechtstexte von Profis übernehmen zu lassen, schon alleine deshalb, weil noch längst nicht alle Fragen der Umsetzung der DSGVO geklärt sind und eine laufende Aktualisierung der Texte nötig ist. Es gibt viele Angebote dazu, die stark im Preis und im Leistungsumfang variieren. Wir lassen unsere Seite beispielsweise von der IT-Recht Kanzlei München betreuen. Das kostet im Basispaket 11,89 € im Monat und ist vor allem deshalb praktisch, weil über eine Datenschnittstelle in WordPress die Rechtstexte aktualisiert werden, ohne dass wir uns darum extra kümmern müssten. Außerdem behält die Kanzlei aktuelle Gerichtsurteile im Blick und berücksichtigt diese bei der Anpassung der Texte.
Aber mit der Pflege der Rechtstexte ist es leider nicht getan. So muss zum Beispiel jeder, der sensible Daten erhebt und verarbeitet, ein sogenanntes Verarbeitungsverzeichnis führen. Was genau darin stehen und wer so ein Verzeichnis führen muss, ist noch nicht abschließend geklärt, da der Gesetzestext dazu sehr vage ist. Klarheit werden hier leider erst Gerichtsurteile bringen.
Bei vielen Providern lassen sich mittlerweile auch grundsätzliche Einstellungen vornehmen, wie Daten der Seitennutzer verarbeitet werden. Hier lohnt sich ein Blick in die Optionen. Bei vielen Anbietern lässt sich zum Beispiel einstellen, dass die IP-Adressen der Nutzer nicht oder nur anonymisiert in den Logfiles auf dem Server gespeichert werden. Auch bieten manche Provider kostenlose SSL-Zertifikate an, mit denen der Server eine verschlüsselte Verbindung mit dem Nutzer aufbaut (zu erkennen am https und dem grünen Schloss in der Adresszeile des Browsers). Diese Verschlüsselung ist Pflicht für Onlineshop-Betreiber und empfiehlt sich auch für alle anderen.
Was muss ich speziell als Musiker beachten?
‚Ich mache doch nur ein bisschen Musik, warum muss ich mich mit dem ganzen technischen Kram befassen?‘ – so haben wir auch am Anfang gedacht. Aber Unwissenheit schützt ja bekanntlich nicht vor Strafe, und daher führt als Seitenbetreiber leider kein Weg daran vorbei, sich wenigstens ein bisschen mit der DSGVO zu beschäftigen. Bei komplexeren Seiten, insbesondere mit Onlineshop, ist es letztendlich am sinnvollsten, wenn man die Betreuung der Seite einem Fachmann überlässt, auch wenn das etwas kostet. Bei kleineren Internetpräsenzen dagegen reicht es, wenn man die wichtigsten Punkte wie Impressum und Datenschutzerklärung beachtet.
Eine einfache Künstlerseite braucht zum Beispiel (wahrscheinlich) weder ein Verarbeitungsverzeichnis noch AGB. Auch ein SSL-Zertifikat ist meistens nicht nötig (wenn auch empfehlenswert!). Es gibt allerdings einen Punkt, der speziell für Musiker relevant ist: Das Einbetten von Musik oder Videos.
Wer Musik oder Videos über die „Einbetten“-Funktion auf seiner Seite einbaut, der muss damit rechnen, dass die entsprechenden Drittanbieter Daten vom Seitenbesucher sammeln, ohne dass er zugestimmt hat, und zwar schon beim Aufruf der Seite, nicht erst beim Klicken auf den Play-Button! Manche Anbieter haben sich bereit erklärt, freiwillig die Regeln der DSGVO einzuhalten. Welche Anbieter das sind, sollte man nachschauen, bevor man deren Inhalte einbettet. Zum Beispiel bietet YouTube eine datenschutzkonforme Einbettung an, Vimeo dagegen nicht. Im Zweifelsfall sollte man den Inhalt nicht einbetten, sondern nur daruf verlinken. Das sieht zwar nicht so hübsch aus, ist aber dafür rechtssicher.
Wer YouTube-Videos einbetten will, muss dafür den „Erweiterten Datenschutzmodus“ verwenden. Den findet man, wenn man unter einem YouTube-Video auf den „Teilen“-Button klickt und danach auf „Einbetten“. Dann scrollt man im sich nun öffenden Fenster etwas herunter und setzt ein Häkchen bei „“. Anschließend kopiert man den Code und fügt ihn auf seiner Seite ein. Man erkennt an der URL, ob der erweiterte Datenschutzmodus aktiviert wurde, wenn dort „https://www.youtube-nocookie.com/embed/xOqUpcsvLDY“ statt „https://www.youtube.com/embed/xOqUpcsvLDY“ steht. Dies muss man natürlich auch für alle Videos ändern, die man in der Vergangenheit in seiner Seite eingebunden hat!
Darüber hinaus gibt es Dinge, die man mit ein bisschen gesundem Menschenverstand betrachten sollte, die aber nicht direkt etwas mit der DSGVO zu tun haben. Zum Beispiel sollte mittlerweile auch dem letzten klar sein, dass Bilder und Videos anderer urheberrechtlich geschützt sind. Wer also einfach Bilder von fremden Seiten kopiert und auf seiner Seite einfügt, dem droht Ärger. Auch sollte man es nach Möglichkeit unterlassen, andere auf seiner Seite zu beleidigen oder falsche Behauptungen über sie aufzustellen. Wer behauptet, er habe die „beste Interpretation“ eines Stückes oder die „erfolgreichste CD“, der muss sich möglicherweise wegen unlauteren Wettbewerbs verantworten.
Was für Konsequenzen drohen, wenn man sich nicht an die neuen Regelungen hält?
Prinzipiell gibt es zwei Arten Konsequenzen, die einem drohen, wenn man sich nicht an die DSGVO hält. Die erste ist natürlich die rechtliche Problematik: Wenn ich ein Gesetz breche, muss ich damit rechnen, dafür verurteilt zu werden. Doch ganz so dramatisch, wie das erstmal klingt, ist es nicht. Die Gerichte werden zunächst alle Hände voll zu tun haben, die „großen Fische“ aus dem Verkehr zu ziehen, also große Unternehmen oder solche, die besonders sensible Daten verarbeiten. Dazu zählen Künstlerseiten sicher nicht. Es ist äußerst unwahrscheinlich, dass die Datenschutzbehörden das Verarbeitungsverzeichnis eines kleinen Anbieters einsehen oder den Datenschutzbeauftragten sprechen möchten. Es sollte aus rechtlicher Sicht also völlig ausreichen, wenn Eure Seite oberflächlich betrachtet den Ansprüchen der DSGVO genügt. Anders sieht es aus, wenn Ihr z.B. kein Impressum habt. Dann kann auch eine juristische Strafe drohen.
Die weitaus gefährlichere Konsequenz besteht allerdings in sogenannten Abmahnungen. Diese können von jedem Konkurrenten ausgesprochen werden, dem Verstöße gegen die DSGVO und andere Richtlinien auf Eurer Seite auffallen. Die Kosten für eine solche Abmahnung können dabei schnell mehrere hundert Euro betragen. Die Abmahner sind dabei wesentlich pingeliger als die Juristen: Schon Rechtschreibfehler im Impressum haben zu Abmahnungen geführt!
Die Gefahr einer Abmahnung ist dabei keineswegs abstrakt: Laut einer Umfrage aus dem Jahr 2016 wurden rund ein Drittel aller Onlineshops schon einmal kostenpflichtig abgemahnt. Das liegt vor allem daran, dass es sich mittlerweile viele Anwaltskanzleien zum Geschäftsmodell gemacht haben, flächendeckend abzumahnen. Der Gesetzgeber will eigentlich schon seit längerem diesem Missbrauch des Abmahnverfahrens entgegenwirken, das eigentlich als unkompliziertes Mittel gedacht war, Streitigkeiten zwischen Geschäftskonkurrenten zu lösen. Passiert ist bisher aber noch nichts.
Aber auch für die Abmahnungen gilt: Wer seine Seite gut pflegt und oberflächlich betrachtet datenschutzkonform hält, wird kaum abgemahnt werden, einfach aus dem Grund, dass es für die Abmahnanwälte dann leichtere „Opfer“ gibt. Mit ein bisschen Aufwand lässt es sich also vermeiden, in Schwierigkeiten zu geraten. Auch viele Juristen geben bereits Entwarnung: Die große „Abmahnwelle“, die mit Inkrafttreten der DSGVO befürchtet worden war, ist bisher ausgeblieben. Das liegt auch daran, dass in vielen Bereichen noch gar nicht klar ist, was die DSGVO eigentlich für praktische Konsequenzen hat. Das Pech der Seitenbetreiber ist also auch gleichzeitig deren Glück: Die Abmahnanwälte wollen schließlich auch nicht das Risiko eingehen, für etwas abzumahnen, dass sich dann vor Gericht als datenschutzkonform herausstellt!
Auch für uns war es erstmal unangenehm, sich mit alldem zu befassen. Unter unseren Freunden und Kollegen herrscht naturgemäß wenig Wissen über diese Dinge, denn schließlich wollen wir uns alle auf die Musik konzentrieren und nicht in Bürokratie versinken. Aber mit der Zeit bekommt man einen besseren Durchblick, und es ist sehr beruhigend, zu wissen, dass man nicht Opfer von Abmahnanwälten werden kann oder Ärger mit der Justiz bekommen wird!
