Compliance · DSGVO

DSGVO für Presse-Websites: die Checkliste für Verlage.

Zuletzt aktualisiert: 6. Mai 2026 · Alle Aussagen stützen sich auf die Verordnung (EU) 2016/679 (DSGVO), die Leitlinien der CNIL und die Leitlinien des EDPB.

Was die DSGVO ist, in einem Absatz

Die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) legt den rechtlichen Rahmen für die Verarbeitung personenbezogener Daten von EU-Bürgern fest. Sie gilt unabhängig davon, wo der Verantwortliche oder der Auftragsverarbeiter niedergelassen ist, solange die Verarbeitung damit zusammenhängt, Personen in der EU Waren oder Dienstleistungen anzubieten oder ihr Verhalten zu beobachten (Artikel 3.2). Für Presse-Websites mit Leserbeteiligung bedeutet das: Jedes Leserkonto, jeder per IP nachverfolgte anonyme Kommentar, jede Newsletter-Anmeldung, jede Reaktion auf einen Artikel fällt unter die DSGVO.

Was auf einer Presse-Website als personenbezogene Daten gilt

Die DSGVO definiert personenbezogene Daten ausgesprochen weit (Artikel 4.1): alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Für eine Presse-Website umfasst das:

  • Daten des Leserkontos: Name, E-Mail-Adresse, Passwort-Hash, Profilbild, Biografie
  • Interaktionsdaten: Kommentare, Stimmen, Likes, Shares, Verweildauer bei Artikeln
  • Technische Daten: IP-Adressen, Geräte-Fingerprints, Browser-Kennungen, Sitzungs-Cookies
  • Abgeleitete Daten: aus dem Leseverhalten gewonnene Interessens-Tags, Ergebnisse des Audience-Scorings
  • Abonnement- und Zahlungsdaten, sofern zutreffend

Die sechs Rechtsgrundlagen (Artikel 6)

Sie dürfen personenbezogene Daten nur verarbeiten, wenn Sie sich auf mindestens eine der sechs in Artikel 6 aufgeführten Rechtsgrundlagen stützen können:

  • Einwilligung (6.1.a), ausdrücklich, granular, widerrufbar. Verwendet für Marketing, Profiling, optionale Daten.
  • Vertrag (6.1.b), erforderlich, um einen Dienst zu erbringen, für den sich der Nutzer angemeldet hat. Verwendet für die Kontoerstellung, die Abwicklung von Abonnements.
  • Rechtliche Verpflichtung (6.1.c), erforderlich zur Erfüllung einer gesetzlichen Vorgabe (z. B. Aufbewahrungspflichten).
  • Lebenswichtige Interessen (6.1.d), für Verlage selten relevant.
  • Öffentliches Interesse (6.1.e), vor allem für den öffentlichen Sektor / öffentlich-rechtliche Medien.
  • Berechtigtes Interesse (6.1.f), Ihr Interesse, abgewogen gegen die Rechte des Nutzers. Verwendet für Betrugsprävention, anonyme Analysen, Sicherheit.

Für Kommentare und Leserbeteiligung ist die häufigste Kombination Vertrag (Sie erbringen einen Teilnahmedienst, für den sich der Nutzer entschieden hat) plus berechtigtes Interesse (Sicherheit, Anti-Spam, Betrug).

Die acht Leserrechte (Artikel 12–22)

Sie müssen den Nutzer in die Lage versetzen, die folgenden Rechte in verständlicher Sprache und innerhalb eines Monats auszuüben (Artikel 12.3):

  • Auskunftsrecht (Art. 15) — der Nutzer kann eine Kopie aller Daten anfordern, die Sie über ihn vorhalten
  • Recht auf Berichtigung (Art. 16) — unrichtige Daten korrigieren
  • Recht auf Löschung / Recht auf Vergessenwerden (Art. 17) — Daten löschen, wenn keine berechtigte Grundlage für ihre Aufbewahrung besteht
  • Recht auf Einschränkung (Art. 18) — die Verarbeitung unter bestimmten Umständen begrenzen
  • Recht auf Datenübertragbarkeit (Art. 20) — strukturierte Daten exportieren, um den Dienst zu wechseln
  • Widerspruchsrecht (Art. 21) — Widerspruch gegen eine auf berechtigtem Interesse beruhende Verarbeitung
  • Recht, keiner ausschließlich automatisierten Entscheidung unterworfen zu werden (Art. 22)
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77) — in Frankreich die CNIL

Internationale Übermittlungen (Kapitel V)

Wenn Ihr Kommentarsystem oder Ihre Leserdatenbank außerhalb der EU gehostet wird, verlangt die DSGVO Garantien nach den Artikeln 44–50. Nach dem Schrems-II-Urteil (EuGH, 16. Juli 2020) stützen sich Übermittlungen in die Vereinigten Staaten auf das EU-US Data Privacy Framework (in Kraft seit Juli 2023), wobei der EDPB häufig zusätzliche ergänzende Maßnahmen verlangt. Viele Verlage finden es einfacher, die Daten vollständig in der EU zu halten.

Rollen: Wer ist Verantwortlicher, wer ist Auftragsverarbeiter

Für die Leserdaten Ihrer Presse-Website gilt:

  • Sie (der Verlag) sind der Verantwortliche — Sie entscheiden, warum und wie die Daten verarbeitet werden (Art. 4.7).
  • Ihr Kommentarsystem / Moderationstool (Logora, Disqus, Viafoura usw.) ist in der Regel ein Auftragsverarbeiter — es verarbeitet Daten in Ihrem Auftrag, nach den Weisungen in einem Auftragsverarbeitungsvertrag (Art. 28).

Der Auftragsverarbeitungsvertrag ist nach Artikel 28.3 verpflichtend. Er muss Gegenstand, Dauer, Art, Zweck, Datenarten, Kategorien betroffener Personen sowie Ihre Pflichten und Rechte als Verantwortlicher festlegen. Ohne einen unterzeichneten Auftragsverarbeitungsvertrag dürfen Sie keinen externen Auftragsverarbeiter rechtmäßig für personenbezogene Daten einsetzen.

Was das in der Praxis für Ihren Verlagsbetrieb bedeutet

  • Datenschutzerklärung auf Ihrer Website, in verständlicher Sprache, mit Auflistung jeder Verarbeitungstätigkeit (Artikel 13–14)
  • Cookie-Banner nur, wenn erforderlich — nicht-tracking-, nicht-targeting-Cookies sind ausgenommen (Leitlinien der CNIL zur ePrivacy-Richtlinie)
  • Unterzeichnete Auftragsverarbeitungsverträge mit jedem externen Auftragsverarbeiter: Kommentarsystem, Moderationstool, Analytics, Ad-Tech, E-Mail-Dienst
  • Verzeichnis von Verarbeitungstätigkeiten (Artikel 30) — ein internes Register, das alle Verarbeitungstätigkeiten auflistet
  • Benennung eines Datenschutzbeauftragten (Artikel 37), wenn Sie eine umfangreiche Verarbeitung oder systematische Überwachung durchführen
  • Meldung von Datenschutzverletzungen innerhalb von 72 Stunden an die Behörde (Artikel 33) und an betroffene Nutzer, wenn ein hohes Risiko besteht

Wie Logora damit umgeht

  • Auftragsverarbeitungsvertrag mit jedem Kunden unterzeichnet, strukturiert gemäß Artikel 28.3
  • Hosting ausschließlich in der EU bei OVH, Frankreich — niemals eine Übermittlung außerhalb der EU
  • First-Party-Daten — Leserkonten gehören zur Datenbank des Verlags, nicht zu Logora
  • Keine Tracking-Cookies von Drittanbietern standardmäßig; jede Analyse ist anonym und cookielos
  • Auskunfts-Export direkt im Administrationsbereich integriert — ein Klick, um eine Anfrage nach Artikel 15 zu erfüllen
  • Bearbeitung des Löschrechts auf Einzelnutzerbasis, wobei sich die Löschung gemäß der Aufbewahrungsrichtlinie des Verlags auf Kommentare und Stimmen erstreckt

Quellen

Sie möchten Ihr Setup für Leserdaten prüfen lassen? Buchen Sie ein 60-minütiges Gespräch mit unserem Team.

Anleitungen
Moderation Best Practices Moderations-Charta
Beispiele
Anwendungsfälle Dokumentation Admin-Bereich
Über uns
Team Blog Partner Positionierung Kontakt
Rechtliches
Impressum AGB Datenschutz
Keine Tracking-Cookies. Souveräne Infrastruktur auf OVH (Frankreich).
Für die Demokratie geschaffen von Logora
⌘K / Strg+K zum Öffnen