Chats, Foren und Gästebücher - DSGVO-Update

Chats, Foren und Gästebücher - DSGVO-Update

Blogbeitrag vom

Viele Webseiten bieten Möglichkeiten zum Austausch der Nutzer untereinander und zum Veröffentlichen eigener Beiträge an. Auch auf Kinderseiten sind diese interaktiven Tools sehr beliebt.

Banner Interaktion

DSGVO-Update:

Seit dem 25. Mai 2018 gilt die neue EU-Datenschutzgrundverordnung (DSGVO). Der Text in dieser Box stellt eine Ergänzung zum darunter stehendem Haupttext dar. Zum Gesamtverständnis lohnt es sich beide Texte zu lesen.

Chats, Foren und Gästebücher ermöglichen es, Beiträge für die ganze Welt zu veröffentlichen. Unter gewissen Voraussetzungen lässt sich vertreten, dabei auf die Zustimmung der Eltern zu verzichten. Das gilt dann, wenn sie keinen Personenbezug enthalten und auch keinen enthalten sollen. Allerdings kann es natürlich sein, dass Kinder in das Kommentarfeld ihren Namen oder andere Angaben schreiben, die doch zu einem Personenbezug führen. Daher muss durch eine sorgfältige Vorabmoderation sichergestellt wird, dass solche Daten nicht öffentlich werden. Ob ein solches Vorgehen ausreicht, ist zwar noch unklar. Es gibt es hierzu noch keine gesicherte Rechtsprechung. Wir halten das jedoch für ein vertretbares Vorgehen.

Wenn allerdings personenbezogene Informationen im Internet veröffentlicht werden können, ist die Einholung einer Einwilligung zu empfehlen. Kinder unter 16 Jahren in Deutschland dürfen eine Einwilligung nun nicht mehr ohne die Zustimmung ihrer Eltern oder Sorgeberechtigten erteilen.

Unsere bisherigen Empfehlungen berücksichtigen das bereits. Ungeklärt ist bislang, ob dabei auch Mechanismen zur Altersverifikation notwendig sind und wie sie praktisch umgesetzt werden könnten.

Auch bei Einwilligungserklärungen gelten die allgemeinen Transparenzpflichten, wie sie anhand der Datenschutzerklärung erläutert wurden. Sie können erfüllt werden, indem die entsprechenden Textbausteine in die Erklärungen aufgenommen werden.

Allerdings widerspricht das dem Ziel, die Erklärung in knapper Form darzustellen. Es ist daher zu empfehlen, begleitend zur Einwilligung einen kurzen Hinweis mit einem Verweis auf die allgemeine Datenschutzerklärung zu geben. Etwa so:

Vorschlag für eine Einwilligungserklärung

Ich bin damit einverstanden, dass mein Kommentar veröffentlicht wird. (Nähere Informationen zum Datenschutz hier.)

Diese Datenschutzerklärung muss dann auch die Verarbeitung, die im Zusammenhang mit der Einwilligung erfolgt, erläutern.

Wer als Seitenbetreiber die Möglichkeit anbietet, Feedback zu geben oder sich in Chats und Foren auszutauschen, sollte in der Regel auf eine explizite Erklärung setzen, in der die Nutzerinnen und Nutzer ihr Einverständnis dazu erklären, wie die Daten dabei verarbeitet werden.

In den meisten dieser Fälle müssen sich die Besucher registrieren oder zumindest eine E-Mail-Adresse angeben. Dadurch entsteht ein „Personenbezug“ und man muss Datenschutzrecht beachten. Gästebücher können aber auch so eingerichtet werden, dass jeder Besucher einen Beitrag ohne weitere Angaben veröffentlichen kann. Das ist zunächst aus Datenschutzsicht zu begrüßen.

Dabei ist aber zu bedenken, dass auch der Inhalt eines (vermeintlich) anonymen Beitrags einen Personenbezug im rechtlichen Sinne aufweisen kann. Rechtlich macht es daher fast keinen Unterschied, ob Nutzerinnen und Nutzer sich registrieren müssen oder auch ohne weitere Angaben mitmachen können. Immer sind die wichtigsten Punkte hervorzuheben.

  • Welche Angaben werden im Rahmen der Nutzung erhoben? Das sind in der Regel
    • Die Beiträge der Nutzerinnen und Nutzer selber
    • Hinzu kommt in aller Regel ein Nutzername und oft auch ein Passwort sowie eine E-Mail-Adresse
    • Auch bei einfachen Internetseiten fallen die Daten des HTTP-Requests an: IP-Adresse, Zeit des Zugriffs und andere Angaben.
  • Für jeden Datentyp muss sich der Anbieter im Klaren darüber sein, wofür er diese Daten benötigt.

Die Nutzerinnen und Nutzer wiederum müssen wissen, was mit ihren Beiträgen passiert. Das heißt vor allem, wer Zugang dazu hat und wie man seine Daten auch wieder löschen kann. 

Daneben ist es für Betreiber von Foren wichtig, dass keine Urheber- und sonstigen Rechtsverletzungen begangen werden. In einer Erklärung für Nutzer lässt sich zum Beispiel auch darauf aufmerksam machen, dass keine fremden Texte und Bilder ohne Erlaubnis eingestellt werden dürfen. Damit man als Betreiber nicht haftet, müssen im Konfliktfall zum Beispiel solche Beiträge umgehend entfernt werden. Mehr Informationen bietet der Artikel „Wann man für fremde Inhalte haftet und wie man es verhindern kann“ auf iRights.info.

Aus dem Prinzip der IT-Sicherheit folgt, dass man geeignete Sicherheitsmaßnahmen natürlich insbesondere für die Passwörter vorsieht. Aber auch die anderen Daten sollten fachgerecht vor unbefugten Zugriffen gesichert sein. Bezüglich der ergriffenen technisch-organisatorischen Maßnahmen ist man zwar nicht auskunftspflichtig, aber wer darstellen kann, dass er weiß was er tut, kann eventuell Vertrauenspunkte bei Nutzerinnen und Nutzern sammeln. Ein Beispiel hierfür ist die Speicherung von so genannten Hashwerten, statt Passwörtern im Klartext (s.u.)

Es ist nützlich, auch bei einer Einwilligungserklärung die wichtigsten Informationen kompakt zusammenzufassen. Die Details können dann mit einem weiteren Klick verfügbar gemacht werden. Doch Achtung! Wer wichtige Informationen in den Details versteckt, geht das Risiko ein, dass die Erklärung in diesem Punkt nicht wirksam ist, weil sie als Überraschungsklausel von Allgemeinen Geschäftsbedingungen gewertet werden könnte (vgl. Hintergrundtext 2).

Wir empfehlen, dass die in den unten angeführten Beispielen in Fettdruck hervorgehobenen Angaben stets sichtbar sind. Der gesamte Text sollte dann mit einem weiteren Klick erreichbar sein. Zum Text sollten Nutzerzinnen und Nutzer ein Häkchen setzen müssen, um aktiv zuzustimmen.

Beispiel für eine Mustereinwilligungserklärung für ein Gästebuch – anonymes Posting

Wer nur ein simples Gästebuch anbietet, bei dem man ohne weitere Angaben Feedback geben kann, erhebt nur wenige Daten. Entsprechend kurz kann der Hinweis sein.

❏        Mit dem Absenden meines Beitrages erkläre ich mich ausdrücklich damit einverstanden, dass dieser Beitrag mit Datum und Uhrzeit auf der Gästebuchseite dieses Internetauftritts öffentlich lesbar wird.
Mustertext

Aus Datenschutzsicht ist eine solche minimalistische Herangehensweise begrüßenswert. Sie hat aber auch Nachteile: Wegen der fehlenden Registrierung ist es schwierig, den Nutzerinnen und Nutzern die Möglichkeit für Löschungen und Korrekturen zu bieten. Man kann nicht überprüfen, ob Änderungswünsche vom ursprünglichen Verfasser oder einem Dritten kommen und ist auf eine eigene Einschätzung im Einzelfall angewiesen. Dennoch ist es hilfreich, wenn hierzu ein Hinweis gegeben wird:

Sollten Sie einen Beitrag löschen oder korrigieren wollen, melden Sie sich bitte unter der im Impressum angegebenen E-Mail-Adresse.

Mustertext

Für Betreiber von Kinderseiten ist die ungeprüfte Veröffentlichung von Beiträgen problematisch – insbesondere, wenn sie Personenbezug aufweisen. Wenn die Einwilligung zur Veröffentlichung nicht wirksam erteilt wurde, ist die Verarbeitung und Veröffentlichung der Daten rechtswidrig. Das gilt zum Beispiel, wenn eine Zustimmung der Eltern notwendig ist, aber fehlt (dazu bald mehr in dieser Reihe). Gängige Praxis ist es daher, auch ausdrücklich um die Einwilligung der Eltern zu bitten:

❏        Meine Eltern sind mit der Veröffentlichung des Beitrages einverstanden.

Mustertext

Diese Maßnahme hilft aber nur begrenzt, wenn Kinder diesen Punkt selber anklicken können. Ob den Betreiber im Extremfall sogar Schadenersatzansprüche treffen, obwohl er alle diese Maßnahmen ergriffen hat, ist nicht auszuschließen und bisher noch nicht gerichtlich entschieden. Zur Minimierung von Risiken kann es sich daher empfehlen, jeden Beitrag einzeln vor der Veröffentlichung freizuschalten. Hält man den Inhalt für problematisch, etwa weil ein Kind freimütig Dinge preisgibt und seinen Namen oder Anschrift in einem öffentlichen Forum veröffentlicht, sollte man von einer Veröffentlichung absehen.

Die Münchener Kinderwebseite Pomki.de geht so vor, wenn Kinder Witze auf die Seite stellen wollen.Logo pomki.de
Beispiele
Bei kindersache.de werden Kommentare ebenfalls vor der Veröffentlichung durch einen Administrator freigeschaltet.Logo Kindersache

Wie sich die damit verbundenen Risiken anschaulich darstellen lassen, zeigt zum Beispiel auch dieses Erklärvideo: https://www.youtube.com/watch?v=8VVIqRlo7ig

Beispiel für eine Einwilligungserklärung zur Registrierung für ein Forum oder einen Chat mit Registrierung

Mustertext

1. Registrierung

❏        Mit der Anmeldung erkläre ich mich einverstanden, dass der Seitenbetreiber meinen Nutzernamen, mein Passwort und meine E-Mail-Adresse verarbeitet.

Mit der Registrierung wird für jeden Nutzer ein Grundbestand mit folgenden Daten angelegt:

  • Nutzername
  • E-Mail-Adresse
  • Passwort

Nutzername und Passwort werden verwendet, um dem Nutzer den Zugang zum Forum zu ermöglichen.

Das Passwort wird dabei durch uns nicht direkt gespeichert, sondern unmittelbar nach der Registrierung in eine Prüfsumme (sog. Hashwert) umgewandelt. So ist es sicherer.

Die E-Mail-Adresse wird ausschließlich dafür genutzt, ein neues Passwort anlegen zu können. Wir verschicken keine Werbung und geben die E-Mail-Adresse nicht weiter, sofern wir nicht gesetzlich dazu verpflichtet sind.

Wenn Sie wollen, können wir Sie auch über Antworten auf Ihre Beiträge benachrichtigen.

Auch die Beiträge sind durch den Text abzudecken. Dabei muss deutlich werden, wer die Beiträge lesen kann. Der Text ist diesbezüglich anzupassen.

2. Beiträge

❏        Ich bin damit einverstanden, dass meine Beiträge innerhalb der jeweiligen Gruppe/öffentlich [Text hier je nach Funktionalität anpassen] zugänglich gemacht werden. Hierbei werden auch mein Nutzername und der Zeitpunkt der Erstellung meines Beitrags angezeigt.

Je nachdem, was ich im Rahmen meiner Beiträge veröffentliche, kann es für andere Nutzer unter Umständen möglich sein, meine Beiträge auf mich zurück zuführen.

Ich kann jederzeit die Löschung meiner Beiträge veranlassen und auch meine Registrierungsdaten löschen lassen. Allerdings ist die Löschung von Beiträgen nach Löschung der Registrierung nur im Ausnahmefall möglich, kontaktieren Sie hierfür bitte die im Impressum angegebene E-Mail-Adresse.

Jedes Mal, wenn ein Nutzer einen Beitrag speichert, werden neben dem Inhalt des Beitrags auch der Zeitpunkt und der zugehörige Nutzername gespeichert. Diese Speicherung erfolgt zur Darstellung der Beiträge im Forum.

Mustertext

Hinweis auf Protokolldateien

Wenn man zusätzlich Protokolldateien speichert, ist es möglich und manchmal auch geboten, diese Informationen miteinander zu verknüpfen. Daher ist auch hierfür ein Hinweis vorzusehen:

Mustertext

Außerdem ist es für uns möglich über eine Analyse der Protokolldateien eine Verknüpfung zwischen Beitrag und den jeweiligen Protokolldaten (etwa IP-Adressen) herzustellen. Diese Angaben werden nur bei Problemen mit dem Betrieb des Angebotes ausgewertet.

Version in kindgerechter Sprache

Um Kinder für die Folgen umfassender Veröffentlichungen zu sensibilisieren, ist Medienkompetenz gefragt. Einen Beitrag hierzu kann auch ein Seitenbetreiber leisten: mit kindgerecht aufbereiteten Hinweisen und Einverständniserklärungen.

Wir freuen uns, wenn du in unser Gästebuch schreibst. Dein Beitrag wird auf unserer Webseite veröffentlicht und kann von jedem gelesen werden. Nachnamen, E-Mail-Adresse, Postanschrift und Telefonnummern gehören nicht in ein öffentliches Gästebuch! Nenne uns daher nur deinen Vor- oder Nicknamen.

       Ich bin damit einverstanden, dass mein Beitrag auf dieser Webseite veröffentlicht wird. Mein Name und mein Text werden mit Datum und Uhrzeit im Gästebuch für jeden lesbar.

       Meine Eltern sind mit der Veröffentlichung meines Beitrages einverstanden.

Auch im Nachhinein können wir deinen Beitrag löschen oder ändern. Bitte schreibe dazu eine E-Mail an die Adresse, die im Impressum (hier bietet sich ein Link zum Impressum an) genannt wird.

Textvorschlag für ein Gästebuch ohne Registrierung

1. Deine Anmeldung

       Hiermit melde ich mich bei der Webseite an. Ich erkläre mich einverstanden, dass der Seitenanbieter meinen Nutzernamen, mein Passwort und meine E-Mail-Adresse speichert und verarbeitet.

Wenn du dich anmeldest, erhalten wir von dir folgende Daten:

  • Nutzername
  • E-Mail-Adresse
  • Passwort

Nutzername und Passwort verwenden wir, um dir den Zugang zu unserem Forum/ Chat zu ermöglichen.

Dein Passwort speichern wir nicht direkt bei uns, sondern verschlüsseln es. So ist es sicherer.

Deine E-Mail-Adresse nutzen wir nur, falls du ein neues Passwort anlegen möchtest. Wir verschicken keine Werbung und geben die E-Mail-Adresse nicht weiter, sofern wir nicht gesetzlich dazu verpflichtet sind.

Wenn du möchtest, können wir dich benachrichtigen, falls jemand auf deinen Beitrag antwortet.

2. Deine Beiträge

       Ich bin damit einverstanden, dass meine Beiträge im Forum/ im Chat veröffentlicht werden. Mein Name und mein Text werden mit Datum und Uhrzeit für jeden lesbar.

Wenn du in deinem Text von persönlichen Dingen berichtest, kann es für andere Personen möglich sein zu erkennen, dass du diesen Text geschrieben hast.

Du kannst jederzeit Bescheid geben, dass deine Anmeldedaten und deine Beiträge gelöscht werden sollen. Wenn deine Beiträge gelöscht werden sollen, schreibe uns bitte eine E-Mail an die Adresse, die im Impressum (hier bietet sich ein Link zum Impressum an) genannt wird. 

Jedes Mal, wenn jemand einen Beitrag speichert, speichern wir den Text, die Uhrzeit und den passenden Nutzernamen. Mit diesen Angaben stellen wir die Beiträge in unser Forum.

Außerdem ist es für uns möglich eine Verknüpfung zwischen einem und den jeweiligen Protokolldaten (etwa IP-Adressen) herzustellen. Diese Angaben werten wir nur in Notfällen bei Computerproblemen aus.

Textvorschlag für ein Forum oder einen Chat mit Registrierung

Checkliste für Einverständniserklärungen bei Chats, Foren und Gästebüchern

  • Welche Datentypen werden im Rahmen des Angebots erhoben?
  • Welche Öffentlichkeiten erreichen die Beiträge?
  • Welche Lösch- und Korrekturmöglichkeiten sind vorgesehen?

 

Dieser Text ist im Rahmen der Service-Reihe „Datenschutz auf Webseiten“ in Zusammenarbeit von Seitenstark mit iRights.law Rechtsanwälte entstanden.

 

Creative Commons Lizenzvertrag
"Chats, Foren und Gästebücher" von Seitenstark e.V. ist lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz.