DSGVO – und was geht mich als Blogger das an?

Alter Schwede, da kommt ja wieder eine ganz schöne Welle an Bürokratie und Aufwand auf einen zu, wenn man gerade die komplette DSGVO-Diskussion verfolgt. Und auch uns kleine Blogger trifft das, seid ihr schon bereit? Bereit müsst ihr auch sein, für einen ellenlangen Text mit all meinen Erkenntnissen, wenn ihr jetzt weiterlesen wollt!


!!! WICHTIG!!! DISCLAIMER!!! Ich habe mit keinem Juristen direkt und ausführlich über dieses Thema gesprochen. Meine Informationen haben also weder Anspruch auf Vollständigkeit, noch Richtigkeit. Ich übernehme somit keinerlei Haftung !!! WICHTIG!!! DISCLAIMER!!!


Ich habe die letzten Wochen sehr oft mit Sunny über das Thema diskutiert, einen Beitrag von ihr zum Thema und den Tücken für Blogspot-Nutzer mit eigener Domain findet ihr hier. Auch im beruflichen Umfeld gab es die ein oder anderen Berührpunkte, darum wollte ich meine Recherchen jetzt mal (auch für mich übersichtlich) bündeln und vielleicht hilft das dem ein oder anderem auch beim Sortieren seiner DSGVO-Sorgen und dem Angehen von Lösungen. Meine Tipps im Text beziehen sich häufig auf WordPress Plugins, die bei mir aktuell im Einsatz sind oder auf hilfreiche Seiten.

checklist
Was ist alles zu beachten? Wisst ihr schon Bescheid?

DSGVO – Wann geht es los? Und was soll da schon passieren?

Ab dem 25.5.2018 wird es ernst, denn dann tritt die neue Datenschutzgrundverordnung endgültig in Kraft. Sie ist eine europaweite Vorschrift für den Umgang mit personenbezogenen Daten. Wie es mit Gesetzen und Verordnungen immer so schön ist, drohen hier höhere Geldstrafen bei Missachtung. Ich habe nämlich tatsächlich öfter mal den Satz gehört „Mich kleinen Fisch trifft es schon nicht.“ Warum aber das Risiko in Kauf nehmen?

Welche Punkte muss ich nun bei mir auf dem Blog angehen, wenn ich diesen weiterhin rechtskonform betreiben möchte?

SSL-Zertifikat

Mit dem Umzug zu WordPress wurde mir dieses Zertifikat direkt von meinem Hoster angeboten. Quasi Glück im Unglück, denn solche Zertifikate im Nachhinein einbinden ist natürlich mit zusätzlichen Kosten und Aufwand verbunden. Das SSL-Zertifikat übernimmt die Verschlüsselung von Daten. Solche gesicherten Verbindungen erkennt man übrigens durch die Buchstaben https:// vor der eigentlichen Webadresse.

Cookies

Puh, hab ich mir gedacht, da bin ich auch schon wieder fein raus! Die habe ich schon länger bei mir integriert. Auf meiner Webseite weiße ich aktuell mit dem Plugin EU Cookie Law darauf hin, dass Cookies verwendet werden.

Datenschutzerklärung

Nicht neu oder? Die brauchte man auch schon vor dem DSGVO, allerdings wird jetzt eine Überarbeitung nötig. Ich habe sie bereits länger vom Impressum getrennt und als eigenen Link eingebunden. Was genau enthalten sein muss, ist hier recht individuell. Für die Erstellung wurde mir hier bei Webinaren, in gelesenen Blogposts oder Diskussion oft der Datenschutzgenerator vom Rechtsanwalt Dr. Schwenke empfohlen.

Kommentarfunktion

Hier war ich extrem unsicher. Daher war mein erster Gedanke einfach die Kommentare ganz abschalten!?! Aber ich liebe doch den Austausch mit euch und freue mich über jeden Kommentar. Also lieber durch die Infos wühlen und gucken was sein muss.

Gespeichert werden hier die Angaben der Nutzer und eine IP-Adresse auf meinem Server. Und dafür braucht es eine Zustimmung. Integriert habe ich daher einen extra Hinweis inklusive Checkbox über das Plugin WP GDPR Compliance.

Ein Problem ist noch das anonymisieren/nicht speichern der IP. Hier habe ich bereits ein wenig recherchiert, die Lösungen dazu aber noch nicht ausprobiert.

Tracking mit Google Analytics

Beim Einbinden von Google Analytics war ebenfalls früher schon ein Vertrag mit Google obligatorisch. Das Update kann man aktuell in anderen EU Ländern schon digital abschließen. Ob das auch bei uns in Deutschland noch möglich sein wird, da gehen leider die Meinungen auseinander. Aktuell schreibt das deutsche Bundesdatenschutzgesetz vor, dass die elektronische Form leider nicht ausreichend ist. So bleibt also eigentlich nur den Google Mustervertrag neu auszudrucken und in doppelter Ausführung nach Irland zu senden. Den früheren Vertrag habe ich nach etwa 3 Wochen unterschrieben zurück erhalten, mal sehen wie es diesmal läuft.

Ein weiterer wichtiger Punkt ist die IP-Adressen die getrackt werden zu anonymisieren. Ich habe dies über das Plugin Google Analytics for WordPress by MonsterInsights erledigt. Dort kann man das passende Häckchen setzen und ist dann hoffentlich auf der sicheren Seite.

DSGVO - Monster Insights
Anonymisieren der IP

Verzeichnis von Verarbeitungstätigkeiten

Hier habe ich mir eine Liste erstellt, mit all den Stellen an denen ich quasi nun noch Daten sammle und wo diese dann gespeichert werden. Wie z.B. oben eben schon zu lesen

  • Kommentare, Name, Email, Website (obligatorisch), IP – auf meinem Webserver gespeichert
  • Google Analytics Tracking Daten – direkt bei Google gespeichert

Was gibt es sonst noch?

Punkte die mich nicht betreffen, weil ich diesen Service bei mir auf dem Blog nicht oder nicht mehr anbiete, die ihr aber trotzdem auf dem Schirm haben solltet, weil sie vielleicht euch betreffen:

  • Newsletter
    Hier kommt meist ein weiterer Dienstleister, wie etwa Mailchimp, ins Spiel. Das heißt die Maildaten liegen also nicht nur bei euch. Ein Auftragsdatenverarbeitungsvertrag wäre also wie bei der Nutzung von Google Analytics nötig
  • Kontaktformulare
    Auch hier ist die SSL Verschlüsselung und das Einbinden einer Checkbox nötig, über die Nutzer der Datenverarbeitung zustimmen müssen. Meins habe ich entfernt, eine E-Mail tuts auch aktuell.
  • Kommentare und Beiträge abonnieren
    Habe ich früher bei anderen Blogs zwar selber öfter gemacht, bei mir aber nie angeboten. Nutzt ihr diese Funktion wäre ein Double-Opt-In Verfahren notwendig
  • Social Plugins zum Teilen von Inhalten
    Ich hatte hier einen für Pinterest, aber dass dieser wirklich genutzt wurde, wagte ich zu bezweifeln und so habe ich mich einfach mal getrennt.
  • Freebies
    Früher gehörte es schon fast zum guten Ton für ein Freebie seine E-Mail-Adresse zu hinterlassen oder sich zum Newsletter anzumelden. Aktuell habe ich es so verstanden, dass Gratisinhalte nun auch wirklich gratis sein müssen. Sie dürfen nicht mehr an ein quasi Tauschgeschäft gekoppelt sein.

Und, seid ihr jetzt komplett erschlagen? Oder hat es dem ein oder anderen ein wenig Klarheit gebracht? Auf jeden Fall wird alles langsam ein wenig klarer bei mir, auch wenn noch ein paar Fragen bei mir aktuell offen bleiben. (Auftragsdatenverarbeitungvertrag für LinkUps? Affiliate Trackings und Co.? IPs bei Kommentaren nicht mehr speichern, aber wie? Testen welche Infos vielleicht noch ohne mein Wissen von Plugins gesendet werden?)

postit
Hab ich auch wirklich an alles gedacht? *grübel*

Solltet ihr hier Fehler entdecken in meiner Beschreibung, bitte sagt mir das. Auch, falls ich etwas vielleicht total vergessen habe, aber eigentlich noch wissen sollte. Wie gesagt, ich bin kein Profi und wir sitzen ja quasi alle im gleichen DSGVO-Boot 🙂

Wenn euch interessiert, ob und wie ich meine noch offenen Fragen lösen und beantworten konnte, dann schreibt mir auch dazu gern in den Kommentar. Dann bereite ich noch einen zweiten Post mit Infos dazu für euch vor.

Comments · 30

  1. Deine Zusammenfassung finde ich sehr deutlich. Auch zu dem, was Du nicht nutzt. Ich verwende aus dem Grund Google Analytics zum Beispiel schon lange nicht mehr.

    Mich interessiert, wie Du den Auftragsdatenverarbeitungvertrag mit Deinem Provider abschließt und ob Du etwas zum Amazon-Affiliate-Programm weißt. Das sieht ja auch, wer woher auf Amazon geklickt hat anhand der IP-Adresse.

    Muss man denn IP-Adressen anonymisieren? Ich sehe die eigentlich ganz gerne. Erstens kann ich Stalkern damit identifizieren und zweiten bei Gewinnspielen sehen, wenn man jemand mit x Mailadressen und vermutlich Fakenamen von der gleichen IP-Adresse aus kommentiert. Reicht es nicht aus, darauf in der Datenschutzerklärung hinzuweisen?

    1. Das denke ich auch. Wie unten in meinem Kommentar beschrieben, muss in der Datenschutzerklärung ein Hinweis enthalten sein, dass die Daten (also auch die IP-Adresse) auf dem Server gespeichert und jederzeit gelöscht werden können.

    2. Wir hatten ja schon geschrieben, dass der Vertrag nun im Mai beim Provider bereit stehen sollte. Bei den anderen wie Inlinkz bin ich leider noch nicht weitergekommen.
      Bezüglich Amazon weiß ich leider nicht Bescheid. Ich habe erstmal beschlossen, dass nicht mehr zu nutzen, weil es für mich auch nicht richtig sinnvoll war.

  2. Das hast Du sehr schön zusammengefasst liebe Ela. Wichtig ist auch, dass in den Datenschutzerklärungen ein Widerrufsrecht der Speicherung und Löschung von Daten enthalten ist. Das könnte schwierig werden, wenn jemand verlangt, dass seine Kommentare gelöscht werden. Aber ich denke, sowas kommt selten bis gar nicht vor.

    Liebe Grüße Sabine

    1. Das hast du noch mal gut auf den Punkt gebracht, dass das in der Erklärung enthalten sein muss. Sollte das jemand verlangen wäre es aber an sich auch kein Problem es zu machen. Die Datenbank ist ja für WordPress Nutzer auch zugänglich. Hoffentlich passiert es trotzdem nie 😉

  3. Ganz ehrlich? Ich habe schon die Nase voll, wenn ich mich damit beruflich beschäftigen muss… Und für den Blog werde ich Google Analytics einfach nicht mehr verwenden (ich gucke in die Daten eh nie rein), die Abo-Funktion ausschalten und die Kommentare vermutlich auch – auch wenn es schade drum ist. Aber ich habe nicht die geringste Lust, mir damit irgendwelchen Stress zu machen.
    Liebe Grüße
    Fran

    1. Die Abo-Funktion von Kommentaren. Ich glaube die bekommt man nicht weg. Habe keine Schraube gefunden, wo ich die manipulieren könnte. Aber wie gesagt. Ich denke Google zieht da nach. Sie werden das Verfahren auf die gängigen, rechtlichen Standards anpassen.
      Hast Du schon mal geguckt, wer Deine Seite alles trackt. Kann ich gern mal daheim für Dich machen.
      LG Sunny

      1. Ich denke man kann sie vielleicht über CSS wegblenden diese Abo-Funktion und erspart sich dann erstmal wieder Gedanken daran. Dafür braucht es ja nur eine einfache id oder klasse.

    2. Beruflich hatte ich ja auch schon einiges damit zu tun. Aber das ist ja noch mal eine ganz schöne Ebene stressiger und aufwändiger.
      Da find ich es fast ein Klacks so privat, wenn auch nicht weniger nervig. Die Kommentare werden sicher noch Rechtskonform umsetzbar. Bitte nicht gleich abschalten!

  4. Für mich sind das weitgehend noch spanische Dörfer, aber da ich bei blogger bin, hab ich schonmal einige Voraussetzungen, die Du genannt hast (z.B. https, cookies) und sehe das alles eher entspannt. Ich versteh schon, dass es wichtig ist, aber dass manche sich jetzt so einen Kopf machen (nicht Du!) und sogar ihren Blog abschalten wollen, finde ich eher tragisch. Irgendwie krieg ich das bis Mai schon hin, darüber zerbrech ich mir bestimmt nicht den Kopf 🙂 Dank Dir, Sunny, und ein paar anderen werden wir ja super auf dem Laufenden gehalten – Danke dafür, dass Du Dir die Mühe machst, Ela.
    Liebe Grüße, Maren

    1. Das finde ich bei Blogger schon mal gut, dass vieles out of the Box integriert ist. Ich hoffe die weiteren Sachen werden sie noch fix nachziehen.
      Sich informieren find ich auch wichtig. Gleich aber aufgeben wollen sollte man deswegen nicht. Es gibt ja auch immer Leute die einem helfen, wenn man selber nicht weiterkommt.
      Das kriegst du ganz sicher hin!

    2. Hallo Maren,
      mein Blog ist auch bei Blogger. Ich finde nur leider keinen Beitrag dazu, was wir noch erledigen müssen. Hast Du einen Link für mich?
      Liebe Grüße,
      Vanessa

  5. Ich habe meinen Blog soweit schon umgestellt. Allerdings werde ich nächsten Monat nochmal alles genau durchgehen, damit mir nichts durchflutscht.
    Ein hexenwerk ist es nicht und ein schöner Beitrag, denn du geschrieben hast.
    LG Sabana

    1. Bist du sehr technik-versiert? Meist finde die nämlich es geht eigentlich mit den Änderungen. Bei anderen haben ich aber wirklich schon Panik gelesen.
      In einem Monat sollte für mich auch noch alles gut zu schaffen sein.

  6. Mir graut es dermaßen davor – vor allem, weil sich google bzw. Blogspot ja immer noch nicht ausgelassen hat, wie es dort weiter gehen soll… noch steck ich ein bisschen den Kopf in den Sand…

    Ganz liebe Grüße aus der EDELFABRIK Chrissie

    1. Was sollte Google uns mitteilen? Solange die Seite sich rechtskonform verhält ist keine Mitteilung nötig. Wie Du die Konformtät auf Deinem Blog letztlich dann „erklärst“ und „dokumentierst“ wird Google nicht als Problem für Google sehen.

    2. Wahrscheinlich werkeln sie schon an einer tollen Lösung dafür. Sonst wäre quasi ja ihr eigenes Produkt nicht mehr nutzbar ab Mai.

  7. Danke für die Übersicht! Ich habe das Thema für den Blog überhaupt erst seit gestern auf dem Schirm. Wie in Hinblick auf die Datenverarbeitung bei blogspot Blogs zu handeln ist, stellt für mich momentan noch das größte Rätsel dar. Die Daten werden ja von google verarbeitet und gespeichert, einen eigenen Server mit Kontrolle über die Daten hat man da ja nicht. Vor allem findet man dazu einfach nichts im Netz, alles dreht sich nur um WordPress. Immerhin bin ich dank deinem Link zu Sunny schon mal auf eine Lösung für das https-Problem gestoßen. Das hilft ja schon mal weiter 🙂

    1. Ich geb zu ich hab eigentlich schon 2016 davon gehört und es dann panisch wieder vergessen. Denn an sich waren ja zwei Jahre Zeit die neuen Sachen umzusetzen. Da muss ich mein faules ich wieder bisschen schelten, dass ich jetzt Stress hab. Andererseits findet man jetzt wohl auch einfach die meisten Infos dazu.
      Hier hab ich noch Infos zu Blogger gesehen. Eventuell auch nützlich für dich
      https://www.romanticbookfan.de/2018/03/die-neue-dsgvo-fur-blogger-user.html

  8. Hallo Ela, danke für die Informationen, einiges habe ich auch schon gemacht. Von Google Analytics habe ich mich schon letztes Jahr getrennt. Habe gerade über Browser-Plugin Ghostery gesehen was für Tracker ich nach habe, mal sehen was ich da auch noch entfernen kann.
    Liebe Grüße Bo

  9. Erschlagen! Was mir noch Sorgen macht, ist die Tatsache, dass ich als blogspot Nutzer auf deren Services angewiesen bin. Ein Tool zum Erstellen einerCheckbox mit Häkchensetzen (wie jetzt bei dir) gibt es bei blogspot meines Wissens nicht.
    Und wie sieht das denn mit Affiliate Links aus? Werden da die Daten auch gespeichert oder nur die Klicks gezählt? Da sind noch soviele Fragen, aber ich finde es jetzt schon toll, dass sich die Bloggerinnen gegenseitig unterstützen. Im ersten Moment war ich fast schon panisch, aber jetzt hoffe ich, etwas rechtlich Korrektes hinzukriegen.
    Liebe Grüße
    Eva

    1. Ich bin immer recht überzeugt, dass Google auf Änderungen schnell reagiert. Daher denke ich bei blogspot wird sich da auch bald noch einiges tun.
      Es gibt wohl tatsächlich Einbindung von Affiliate die darunter fallen. Das lässt sich aber alles über den Browser noch prüfen.
      Hab aber keine Panik. Es wird alles

  10. Danke Ela, für diesen ausführlichen und informativen Post. Ich werde meinen Blog im Laufe des nächsten Monats anpassen. Die IP-Adressen sind bei mir schon verschlüsselt und Newletter und Kontaktformular habe ich nicht. Trotzdem ist noch einiges zu tun. Ich finde es großartig, dass Du und Sunny Euer Wissen mit uns teilt.
    Liebe Grüße
    Sabine

    1. Ja erstaunlich wie viel zu tun ist, auch wenn man gar nicht alle Elemente des bloggens voll ausnutzt. Bei mir werden auch ein paar Sachen noch im nächsten Monat erledigt und ich hoffe dann komm ich mit allem hin

  11. Lieben Dank für deine gute und leicht verständliche Zusammenfassung.

    Ich habe das soweit für mich schon gesammelt und das wird schon. Aber mal eine ganz andere Frage: wieso kommentiert jemand, um dann die Löschung zu verlangen? Muss ich nicht verstehen, oder?

    Frohe Ostern und liebe Grüße Sabina

Schreibe einen Kommentar

*