Step by Step fit für die neue Datenschutzgrundverordnung. Ganz ohne Paragraphen und Juristen-Jargon verrate ich Euch in diesem Beitrag welche Anpassungen auf Eurem Blog für die DSGVO notwendig sind und wie Ihr sie umsetzt.
Da sich unter meinen Lesern auch viele Blogger befinden, habe ich zur Abwechslung ´mal wieder einen Blogger-Tipp für Euch. Ich habe mich die letzten Tage/Wochen ausführlich mit der neuen DSGVO und den damit verbundenen Anpassungen auf meinem Blog auseinandergesetzt. Es handelt sich wirklich nur um die ersten Adaptionen auf amigaprincess.
Ich möchte betonen, dass ich in folgendem Beitrag um meine persönliche Meinung und Erfahrung handelt. Ich bin kein Anwalt und kann auch nicht für die Richtigkeit und Vollständigkeit dieser Informationen garantieren. Ich habe lediglich sehr viel Zeit investiert und möchte einigen von Euch vielleicht den Weg zur neuen Verordnung und die Recherche verkürzen.
Sie beschäftigt uns alle seit einigen Tagen. Die neue DSGVO rückt immer näher und tritt mit 25.Mai 2018 in Kraft. Manche schieben Panik, andere hingegen eine ruhige Kugel. Man kann nicht früh genug mit den Anpassung des Blogs bzw. der Webseite anfangen. Deshalb habe ich mich die letzten Tage intensiv damit beschäftigt und möchte heute meine Adaptions-Vorgänge mit Euch teilen.
Ich habe mich durch zahlreiche Artikel gewühlt und wäre beinahe daran verzweifelt. Auf den ersten Blick wirkt es unglaublich viel und der Weg unbestreitbar. Ich kann Euch beruhigen – ganz so schlimm ist es nicht. Einige Dinge stehen auch noch nicht fest bzw. es gibt momentan noch keinen akzeptablen Löseweg dafür. Dennoch finde ich es sehr wichtig, sich mit dem Datenschutz auseinanderzusetzen – besser früher als später. Was ist aber eigentlich die DSGVO und was bedeutet sie für uns Blogger?
DSGVO – Was ist das?
Bei der Datenschutzgrundverordnung handelt es sich um ein EU-Gesetz, das 2016 in Kraft getreten ist und ab 25.Mai 2018 für alle Mitgliedstaaten der EU gilt. Uns wurden also mehr oder weniger 2 Jahre Schonfrist für die Anpassungen gewährt. Der Grundgedanke des Gesetzes ist nachvollziehbar, denn es soll die unterschiedlichen Regelungen in Europa vereinheitlichen und dadurch für mehr Sicherheit beim Datenschutz sorgen.
Warum sind Anpassungen der Website notwendig?
Die Anforderungen an Unternehmen und Website-Betreiber ändern sich im Grunde nicht wirklich zu vorher, sie werden lediglich verschärft und teilweise umfassender. Warum Anpassungen notwendig sind, erklärt das hohe Bußgeld bei Verstoß wohl von ganz alleine.
Was sind personenbezogene Daten
Diese gesamte Datenschutzgrundverordnung dreht sich – wenig überraschend – um personenbezogene Daten. Doch was ist damit genau gemeint? Personenbezogene Daten sind Daten, die beispielsweise wir Blogger von Lesern sammeln. Seien es Kommentare am Blog, für welche IP-Adressen sowie Mail-Adressen gesammelt werden oder Tracking-Services wie Google Analytics, die wir für unsere Statistiken benötigen. Aber auch Social Media Verknüpfungen oder Newsletter sammeln im Hintergrund jede Menge Daten.
Notwendige Datenschutz-Anpassungen am Blog
Die DSGVO dient also dem Schutz von personenbezogenen Daten. Im ersten Moment scheint eine Website ohne solche Daten die einzige Lösung zu sein. Aber was wäre ein Blog ohne Share-Funktionen und Kommentare? Daher habe ich mich schlau gemacht und auf meinem Blog die ersten Anpassungen gemacht. Alle Schritte könnt Ihr natürlich selbst auf Eurem Blog anwenden bzw. implementieren.
Auch hier möchte ich nochmals erwähnen, dass ich kein Anwalt bin und sich dieser Beitrag aus meiner eigenen Meinung und meinen Erfahrungen ergibt. Ich übernehme keinerlei Haftung und erhebe keinen Anspruch auf Vollständigkeit oder Richtigkeit. So… nun aber mal von vorne. Kommen wir endlich zum Kern dieses Beitrages – Tipps und Tricks zur Umsetzung der neuen DSGVO am Blog.
Hier erkläre ich Euch die Schritte, die ich gegangen bin um meinen Blog anzupassen. Welche Punkte für Euren Blog relevant sind, müsst Ihr selbst checken. Stellt Euch die Frage, welche personenbezogenen Daten für Euren Blog notwendig sind. Denn je weniger Ihr wirklich braucht, desto weniger Arbeit habt Ihr im Endeffekt auch.
Step by Step datenschutzkonform – so geht´s:
Kommentare und Formulare
Mittels Formularen oder auch Kommentarboxen werden personenbezogene Daten erhoben und gespeichert. In Zukunft muss der User vor dem Versenden der Daten die Datenschutzbestimmung einwilligen. Das wird am einfachsten mit einem Plugin in Form einer Checkbox gelöst. Vorsicht: diese darf standardmäßig nicht angehakt sein! Ich habe das Plugin WP GDPR Compliance installiert. Es unterstützt WooCommerce, die WordPress Kommentarfunktion und das Contact Form 7. Hier kann man mittels a-Tag auch die Datenschutzbestimmung am Blog verlinken.
PS: für Gewinnspiele, Teilnahmebedingungen und Co. ist eine zusätzliche Checkbox notwendig!To Do: Checkbox zur Einwilligung der Datenschutzerklärung einfügen.Sichtbarkeit Datenschutzbestimmungen
Dieser Punkt ist am einfachsten umzusetzen. Verlinkt Eure Datenschutzbestimmungen einfach im Footer oder Header des Blogs. Dies ist allerdings nicht gültig wenn der Cookiebanner den Link verdeckt. Achtet darauf, dass die Datenschutzerklärung vollständig ist und alle notwendigen Punkte immer am aktuellen Stand sind. Auf die Verwendung externer Dienste muss verpflichtend hingewiesen, sofern durch den Aufruf der Seite personenbezogene Daten erhoben werden. Ein simpler Standard-Text wird in Zukunft nicht mehr ausreichen. Auf der Seite der WKO findet Ihr ein Muster zur Erfüllung der datenschutzrechtlichen Informationspflichten für Webseiten.
To Do: Datenschutzerklärung sichtbar anbringen, individuell anfertigen und laufend updaten.Social Share Buttons
Zuerst sei hier gesagt, dass nicht alle Buttons, die zu Social Media Kanälen führen tatsächlich Social Share Buttons sind. Oft sind es nämlich einfach nur Links, die auf eine neue Seite leiten. Unter Social Share Buttons sind beispielsweise direkte Facebook-Implementationen gemeint, wie etwa ein Widget zum Liken der Facebookseite (das übrigens auch vor dem 25. Mai 2018 nicht legal ist) oder das Hinerlassen von Kommentaren mittels Facebook-Profil. Solltet Ihr diese oder andere Social Share Buttons verwenden, dann rate ich Euch den Shariff Wrapper zu installieren. Das Plugin verhindert, dass durch die Share Funktion automatisch Informationen über die Website-Besucher an die sozialen Netzwerke gesendet werden.
To Do: Checken ob es sich um Links oder Share Buttons handeln und wenn nötig z.B. den Shariff Wrapper installieren.SSL-Verschlüsselung
Eine SSL-Verschlüsselung ist zwar in der DSGVO nicht vorgegeben, allerdings wird eine sichere Datenübertragung dadurch erst möglich gemacht. Erkundigt Euch diesbezüglich bei Eurem Webhoster bzw. Webspaceanbieter. Weiterer Pluspunkt ist die Bevorzugung von verschlüsselten Seiten bei Google – dies führt zu einem besseren Ranking.
To Do: SSL Verschlüsselung beantragen.Google Analytics Opt Out + Vertrag zur Auftragsverarbeitung
Auch dieser Punkt klingt wieder komplizierter als die Anpassung tatsächlich ist. Der Hinweis auf die Nutzung von Google Analytics sollte bereits fixer Bestandteil Eurer Datenschutzerklärung sein. Hinzu kommt die Information über eine Opt Out Möglichkeit für den User. Dadurch bekommt er die Möglichkeit die Erfassung seiner Daten zu unterbinden.
Dafür muss vor dem Google Analytics Scrips auf Eurem Blog ein Javascript-Code eingefügt werden. Wie das genau funktioniert könnt Ihr hier nachlesen. Für alle die lieber die Finger vom Programmieren lassen, wird natürlich auch hier ein Plugin angeboten. Mit Google Analytics Germanized könnt ihr nicht nur Google Analytics integrieren, es bietet zusätzlich auch einen Shortcode zur Einbindung der Opt Out Funktion.
Punkt 5 ist fast geschafft. Nun fehlt noch der Vertrag mit Google zur Auftragsverarbeitung. Für Websitebetreiber in Österreich ist dieser Vorgang sehr einfach. In den Google Analytics „Kontoeinstellungen“ klickt Ihr auf “Zusatz anzeigen“ und akzeptiert den “Zusatz zur Datenverarbeitung“. Erledigt! In Deutschland ist der Prozess etwas anders. Ihr müsst den Vertrag zur Auftragsverarbeitung zweimal ausdrucken und unterzeichnet an Google Irland senden. Eine PDF-Vorlage findet Ihr hier.
To Do: Vertrag zur Auftragsverarbeitung einwilligen und Opt Out Funktion für Google Analytics integrieren.IP-Adressen anonymisieren
Um Google Analytics datenschutzkonform zu nutzen, ist die Anonymisierung der IP-Adresse notwendig. Wer sich bereits für das oben genannte Plugin Google Analytics Germanized entschieden hat, der braucht sich darum nicht weiter kümmern – mit einem Klick ist dies nämlich sogar voreingestellt. Alle anderen müssen die Option beim Google Analytics Script setzen. Diese sieht wie folgt aus:
ga(‘create’, gaProperty, ‘auto’);
ga(‘set’, ‘anonymizeIp’, true);
ga(‘send’, ‘pageview’);To Do: IP-Adresse für Google Analytics mittels Code oder Plugin anonymisieren.Newsletteranmeldung & -versand mit Mailchimp
Beim Newsletter gibt es einige Dinge zu beachten. Hier beginnt das “Problem” schon bei der Newsletter-Anmeldung. Dafür ist unbedingt ein Double Opt-In erforderlich. Das bedeutet nichts weiter, als dass der User die Anmeldung bestätigen muss.
Dient das Formular nur zur Anmeldung für einen Verteiler, so gilt der “Senden” -Button als Einwilligung für den zukünftigen Empfang. Allerdings muss hier kurz der Inhalt des Mailings beschrieben werden – damit der User auch weiß, was ihm im Postfach erwarten wird. “Eine pauschale Einwilligung in „Werbung“ oder „interessante Informationen“ wäre unwirksam.“, so Rechtsanwalt Dr. Thomas Schwenke. Nicht als freiwillig abgegeben ist die Einwilligung wenn das Kopplungsverbot greift. Das ist z.B. beim Versenden von Gratis Ebooks bei Newsletter-Anmeldung. Genauere Infos dazu findet Ihr hier.
Wird ein Dienstleister für den Versand des Newsletters herangezogen, so handelt es sich um einen Fall der Auftragsverarbeitung personenbezogener Daten. Damit diese zulässig ist, ist ein Vertrag mit dem Dienstleister nötig. Checkt zuvor aber noch ob Euer Dienstleister in der EU sitzt und/oder auf anerkanntem Datenschutzniveau arbeitet. Dienstleister mit Sitz in den USA sollten auf der Liste des Privacy Shields auftauchen (d.h. sich auf das EU-Datenschutzniveau verpflichten). Bei Mailchimp ist dies der Fall. Jetzt fehlt noch der Auftragsdatenverarbeitungsvertrag: Mailchimp bietet die Möglichkeit dieses Data Processing Agreement online abzuschließen. Dazu müsst Ihr einfach die nötigen Daten ausfüllen und Euch wird eine Kopie des Vertrags per Mail zugeschickt. Zur Sicherheit des Privacy Shields gibt es allerdings einige Bedenken- das sollte aber jeder für sich selbst entscheiden.
To Do: Newsletter-Anmeldung mit Double Opt-In anbieten und das Anmeldeformular mit den oben genannten Zusätzen ergänzen. Newsletter-Anbieter auf die oben erwähnten Punkte checken und gegebenfalls einen Auftragsdatenverarbeitungsvertrag abschließen.Cookies
Das Hinweisen auf Cookies ist schon länger Pflicht. Daran wird sich auch in Zukunft nichts ändern. Was allerdings benötigt wird, ist die Option auf ein “Weitersurfen” ohne Cookies. Dafür habe ich bisher noch keine gute Lösung gefunden. Ich bin aber dran und werde diesem Punkt hoffentlich bald ausführlicher beschreiben können. Momentan nehme ich das Plugin Borlabs unter die Lupe. Mein Fazit wird natürlich hier ergänzt.
Datenverarbeitungsverzeichnis
Dieser Punkt hat mir anfangs Kopfzerbrechen beschert. Zu viele verwirrende Vorlagen und Beiträge kursieren im Netz. Im Endeffekt habe ich mir jetzt eine Liste angelegt, auf der ich Daten und deren Speicherzweck und -ort festhalte. Folgende Punkte zeichne ich auf:
– An welcher Stelle sammle ich Daten und welche Daten sind es? (Bsp.: Name und Mail-Adresse bei Kommentare)
– Wo speichere ich sie und wie kann ich sie löschen?
– Warum speichere ich diese Daten?
– Nutze ich einen Anbieter zur Speicherung und Verarbeitung meiner Daten – wenn ja, welchen?Ich bin wie gesagt nicht sicher ob meine derzeitigen Aufzeichnungen tatsächlich datenschutzkonform sind. Eine andere Lösung habe ich noch nicht. Ich werde aber den Beitrag regelmäßig aktualisieren und Euch auf dem Laufenden halten.
Embeded Content und Facebook Pixel
Für diese beiden Punkte gibt es momentan noch keine offizielle Lösung. Hoffen wir, dass am 25.Mai 2018 nicht alle eingebetteten Videos und Bilder von Dritten entfernt werden müssen. Auch zur Einbindung des Facebook Pixels konnte ich noch keine weiteren Informationen finden. Notfalls werden eben genau diese beiden Punkte von meinem Blog verschwinden müssen.
Google Fonts
Auch was diesen Punkt betrifft bin ich momentan noch etwas ratlos. Am einfachsten wäre es, die Google Fonts zu entfernen und durch andere zu ersetzen.
Check mit “Ghostery”
Zum Schluss noch ein Tipp. Installiert Euch das Browser Add-On “Ghostery”. Es ist eine Browsererweiterung, die das Blockieren und Aufspüren von Tracking-Technologien auf Websites ermöglicht. Somit könnt Ihr auch bei Eurem Blog sehen, wo es noch Anpassungsbedarf gibt.
So, das war eine Zusammenfassung MEINER bisherigen Anpassung. Wie schon erwähnt, werde ich diesen Beitrag immer wieder aktualisieren und ergänzen. Ich hoffe, dass ich einigen von Euch damit ein wenig unter die Arme greifen konnte! Solltet Ihr Anmerkungen oder weitere Tipps haben, hinterlasst gerne einen Kommentar!
Dieser Beitrag sollte lediglich eine Hilfestellung für Euch sein. Es fehlen einige Punkte, da diese für meinen Blog nicht relevant sind. Bitte checkt alle Plugins und auch deren Speicherfunktion von Daten.
12 comments
Hi Trixi!
Mir steht das Thema noch bevor, aber ich lese schon fleißig. Danke deshalb auch für deinen Beitrag. Da ein einige Sachen dabei, die ich anwenden kann.
Zu den Cookies: ich hab den Tipp bekommen, meinen Blog so herzurichten, dass Cookies und auch GA erst greifen, sobald der Leser auf eine weitere Seite bzw. auf die Zustimmung klickt. Weiters soll man die Infos, wie man Cookies deaktivieren kann, für jeden Webbrowser verlinken. Wie ich das genau mache, weiß ich noch nicht.
Zum Vertrag mit GA wurde mir geraten, einen Ausdruck zu machen (oder ein pdf) und das abzulegen.
Aber wie gesagt, mir steht alles noch bevor und ob ich ganz ohne Menschen auskomm, der sich beim Programmieren besser auskennt, als ich – da bin ich mir noch nicht sicher.
Alles Liebe,
Sabrina
So ein informativer Beitrag. Vielen Dank für die Zusammenfassung.
Liebe Grüße und noch eine schöne Woche.
Celine von http://mrsunicorn.de
schöner Beitrag 🙂
Ich habe auch das Plugin für die Checkbox runtergeladen und konnte meine Datenschutzerklärung ohne Probleme verlinken. Du kannst einfache HTML Codes mit einem Link einfügen.
liebe Grüße, Josy
Liebe Josy,
vielen Dank für den Tipp! Das werde ich gleich anpassen und im Text ergänzen 🙂
Alles Liebe,
Trixi
Servus Trixi!
Guter Artikel. Wie jeder verantwortungsbewusste Blogger habe auch ich mich intensiv mit dem Thema auseinandergesetzt und leider scheint es noch etwas komplizierter zu sein, als du es hier anführst. Aber der Artikel ist sicher ein sehr guter Start in das Thema!
Zuerst ein Tipp: für Google Chrome gibt es das PlugIn Ghostery. Dieses zeigt dann sehr übersichtlich an, welche Tracker auf einer Seite aktiv sind. Hier bei dir sind es aktuell zum Beispiel 7. Ich habe mir das PlugIn aber nicht installiert, um andere “aufzuplatteln”, sondern um zu prüfen, was auf meiner Seite alles läuft.
Das Facebook Pixel habe ich gekillt. Braucht man nicht wirklich, wenn man nicht viel Werbung auf Facebook schalten will. Und selbst dann geht es locker auch ohne dem Pixel. Das hilft nur FB, sonst wohl kaum jemanden.
Ganz wichtig: jeder sollte all seine PlugIns durchgehen und nachdenken, ob und welche Daten diese verschicken. Typischer Kandidat: JetPack. Ich habe das nun auch gekillt. Grund: manche Module sind versteckt und können nur über Umwege deaktiviert werden (wenn du admin.php?page=jetpack_modules angibst). Und das ist mir einfach zu wenig transparent.
Richtig blöd wird es bei PlugIns, welche die IP-Adresse verschicken. So zum Beispiel WordFence, die aber garantieren, die IP-Adressen nur zur Prüfung zu verwenden und nicht zu speichern. Trotzdem: ein zweiter Blick auf alle PlugIns kann nicht schaden.
Zum Speichern der IP-Adresse ist auch dein Provider verpflichtet. Mit diesem musst du ebenfalls einen Auftrag zur Datenverarbeitung abschließen. Mein Provider hat auf Anfrage geschrieben, dass er vor dem 25. Mai eine Online Möglichkeit hierfür anbieten will.
Manche diskutieren auch die Verwendung von Google WebFonts, da scheiden sich noch die Geister, ob diese problemlos verwendet werden können.
Have fun
Horst
Hallo Horst, danke für Deine Anmerkung.
Ich habe mehrmals betont, dass sich der Beitrag sowieso nur auf meine Bloganpassungen bezieht. Ghostery kenne ich und habe ich bereits im Browser 🙂 Die oben genannten PlugIns verwende ich hier auf meinem Blog nicht. Deshalb sollte sich auch jeder, wie Du auch sagst, selbst damit beschäftigen, welche PlugIns installiert sind und welche man tatsächlich braucht 🙂
Den Facebook Pixel lasse ich bis Mai auf jeden Fall noch eingebaut, da er für die Ads meines Webshops durchaus relevant ist!
Danke nochmal für Dein ausführliches Feedback! Ich werde es nochmal deutlicher in den Beitrag einbauen, dass es sich tatsächlich nur um MEINE Anpassungen handelt!
Liebe Grüße und viel Erfolg bei der Umstellung!
Trixi
Danke für diesen Beitrag! Ich hab da noch gar nichts gemacht und muss mich jetzt erstmal durcharbeiten, aber ich finde deine Zusammenfassung schonmal sehr hilfreich =)
Love, Héloise
Et Omnia Vanitas
Liebe Trixi! Erst einmal vielen Dank für den Beitrag. Ich hätte da eine Frage zu Google Analytics Opt Out. Das Plugin wäre runtergeladen. Hast du da dann den Code (Link) für die Opt out Funktion nur mehr in die Datenschutzerklärung gegeben? Danke und liebe Grüße!
Liebe Manuela,
vielen Dank für das Feedback! Genau der Code müsste dann in der Datenschutzerklärung verlinkt werden.
Alles Liebe,
Trixi
Was noch fehlt: Google Fonts kappen und lokal hosten, und die IP der Kommentatoren darf nicht gespeichert werden, auch dafür gibt es ein Plugin. Ganz streng ist das Kopplungsverbot: kein Freebie mehr mit anschließendem (also gekoppeltem) Newsletterversand!
Hallo Bernd,
danke für Dein Feedback! Auf Deine Punkte wird im Text bereis eingegangen. Allerdings nicht so genau, da ich z.B mit den Google Fonts noch warte bis vl – woher auch immer – eine andere Lösung kommt, außer sie lokal zu hosten.
Alles Liebe,
Trixi
Liebe Trixi,
danke für deinen Beitrag. Dieser hat mir echt sehr geholfen, mich etwas besser in diesem Thema zurecht zu finden. Diese ganzen Neuerungen sind teilweise schon etwas unübersichtlich. Da ist es besonders gut, dass du hier bereits eine kleine Struktur darlegst. Auch ich werde noch einiges Anpassen müssen. Zum Glück habe ich auch bisher weitestgehend auf datenschutzkritische Dienste verzichtet. Google Fonts zB verwende ich auf meiner meiner Homepages, da es mir zu sehr tracking ist und auch GA nehme ich einfach gar nicht in Anspruch und umgehe dieses größere Thema damit. Man muss ja nicht alles mitmachen, was andere tun. 😉
LG Andy