Die Datenschutzgrundverordnung der EU DSGVO und mein Blog

Ab dem 25.Mai 2018 gelten strengere Regeln für den Umgang mit personenbezogenen Daten und härtere Strafen bei Verstößen. Auch die meisten Blogger sind von der Datenschutzgrundverordnung DSGVO der EU betroffen. Aus diesem Grund habe ich meine Webseite (oder mein Blog, wenn du es so nennen möchtest) in Hinsicht auf diese neuen Anforderungen geprüft und überarbeitet.

Die Datenschutzgrundverordnung der EU DSGVO und mein Blog

Dieser Artikel wird laufend weiter überarbeitet. Deshalb lohnt es sich, doch wieder vorbeizuschauen. [Update 12.04.2018: Gestern hatten wir firmenseitig einen Anwalt der datenschutz nord im Hause. Da bestand für mich die Gelegenheit, mir weiteren Input zu holen]

Die Datenschutzgrundverordnung der EU DSGVO macht auch vor Bloggern nicht halt

Nicht nur in Bloggerkreisen sorgt die Datenschutzgrundverordnung DSGVO der EU für reichlich Wirbel. Generell zieht sich diese neue Verordnung zum Datenschutz quer durch unsere Lebensbereiche. Alles, was irgendwie mit Datenerhebung, Speicherung und Verarbeitung persönlicher Daten zu tun hat, ist von der DSGVO betroffen. Selbst beim Fotografieren macht die DSGVO keine Ausnahme.

Wichtig: Die folgenden Inhalte habe ich recherchiert und nach meinem Verständnis zusammengefasst. Der Artikel stellt keine Rechtsberatung dar und erhebt keinen Anspruch darauf, vollständig und in jedem Detail richtig zu sein.

Ganz neu ist die DSGVO gar nicht. Genau genommen trat sie schon im Mai 2016 in Kraft. Ab dem 25. Mai 2018 wird sie nun aber umgesetzt. Persönlich finde ich es gut, dass es endlich eine neue Regelung zum Datenschutz gibt, die den Anforderungen der digitalen Welt gerecht wird. Die DSGVO gilt EU-weit. Auch das ist ein Fortschritt. Was mir persönlich weniger gefällt ist, dass es (zumindest im aktuellen Stand) keine Unterscheidung zwischen einem 1-Personen-Blog und einem international operierenden Wirtschaftskonzern mit zig Milliarden Euro Umsatz gibt. Für alle gelten generell die gleichen Regeln.

Wie setze ich die DSGVO auf meinem Blog um?

Wohl oder übel habe ich mir deswegen auch für meine Webseite Gedanken gemacht. Erste Worte dazu finden sich in einem früheren Beitrag. Meine Vorgehensweise ist bei solch neuen Herausforderungen immer die gleiche:

Informieren – Analysieren – Entscheiden – Handeln

Hilfreiche Seiten über die DSGVO zu den verschiedensten Anwendungen gibt es zahlreich im Internet. Hier hilft es sich dem Thema entsprechend einzulesen. Als Beispiel habe ich einmal drei Links herausgesucht.

  1. Checkliste für Blogs
  2. Checkliste für Shopbetreiber

Zusätzlich möchte ich noch den Beitrag von Reisen-Fotografie.de erwähnen, der mit seiner Aufstellung eine grosse Hilfe bei der Umsetzung der DSGVO für mich ist.

Generell musste ich erst einmal klären, welche personenbezogenen Daten in Beziehung auf meine Webseite überhaupt anfallen. Laut DSGVO Art. 4.1 sind das alle Informationen, mit denen man ein Individuum identifizieren kann:

  • direkt durch Name, Bild, Telefonnummer, Adresse …
  • indirekt durch Nutzername, Profilbild, IP-Adresse, Cookie-ID …

Auf / über meiner Webseite werden folgende Daten erfasst:

  1. Email-Adressen (Kommentare, Shop)
  2. Namen / Nutzernamen
  3. Profilbilder / Gravatare
  4. IP-Adressen
  5. Cookies und Tracker
  6. Lieferadressen
  7. Zahlungsdaten

Wichtig ist weiterhin, von welchem System (Plugin) und wo (bei wem) die erfassten Daten gespeichert werden und wie lange diese gespeichert werden. Werden diese Daten nämlich bei einen Dritten (Hoster, Zahlungsanbieter) gespeichert und verarbeitet, muss mit diesem ein Auftragsverarbeitungs-Vertrag geschlossen werden.

Im Zuge der „neuen“ DSGVO sollte natürlich auch die Datenschutzerklärung erneuert werden.

Welche Punkte muss ich mir anschauen?

Zusammenfassend habe ich die Punkte aufgelistet welche ich mir nun genauer für meinen Blog anschauen werde:

Impressum und Datenschutzerklärung

Mit der „neuen“ DSGVO muss natürlich auch eine aktuelle Datenschutzerklärung erstellt werden. Diesen Punkt beurteilte der o.g. genannte Anwalt für Blogs als den wichtigsten Punkt überhaupt. Vorab die gute Nachricht: Durch die im Mai 2018 in Kraft tretende DSGVO sind beim Impressum auf Webseite keine Änderungen notwendig. (Rein private Webseiten benötigen eigentlich kein Impressum. Doch die wenigsten Webseiten sind wirklich „rein privat“. Schon ein Werbebanner reicht aus, denn dann gilt die eigene Homepage nicht mehr als privat und es besteht eine Impressumspflicht.)

Nun die weniger gute Nachricht: Alle Datenschutzerklärungen auf Webseiten müssen zum In-Kraft-Treten der DSGVO im Mai 2018 neu erstellt werden. Dabei muss man beachten, dass vor dem 25. Mai 2018 noch altes Recht und Gesetz gilt. Dementsprechend muss ich mir überlegen, wann ich auf die neue Datenschutzerklärung umsteige.

Hilfreich beim Erstellen der Datenschutzerklärung sind sogenannte Generatoren. Für meine aktuelle Datenschutzerklärung habe ich e-recht24.de genutzt und meine Datenschutzerklärung je nach Notwendigkeit und Neuerung aktualisiert. Leider bietet e-recht24 einen Generator für eine DSGVO-konforme Datenschutzerklärung nur für Premium-Nutzer an. Ab Mai werde ich dann lieber die DGD – Deutsche Gesellschaft für Datenschutz nutzen.

Mit diesen Generatoren kann man sich wie mit einem Baukastensystem seine massgeschneiderte Datenschutzerklärung generieren. Allerdings sollte man dann noch einmal über die Erklärung schauen und diese an die eigenen Bedürfnisse richtig anpassen. Wenn man mehrere Webseiten betreibt, braucht man auch für jede einzelne Webseite eine individuelle Datenschutzerklärung.

Generell sollte die Datenschutzerklärung und das Impressum von jeder einzelnen Seite des Blogs aus aufgerufen werden können. Der Einfachheit halber habe ich dafür den Link in den Footer meiner Seite gepackt.

Status: bereits in ständiger Pflege; Anpassung zum 25.05.2018. Bei dieser Gelegenheit spendiere ich für die Datenschutzerklärung und für das Impressum jeweils eine eigene Seite.

Hoster

Die von mir (uns) betriebenen Webseiten laufen auf einem gemieteten Webserver bei webtropia. Da es sich hierbei um einen Dritten handelt, der für uns unsere Daten speichert (und somit auch die personenbezogenen Daten unserer Leser) ist es erforderlich ein Abkommen zur Auftragsdatenverarbeitung zu schliessen.

Hier muss ich mich bzgl. dieses Abschlusses noch beim Hoster erkundigen.

Status: noch offen [Update 24.04.2018] Die Vertragsdokumente sind seitens Webtropia in der Vorbereitung. Es wird damit gerechnet, dass diese Dokumente Anfang Mai zur Verfügung stehen.

Shop

Für meine Webseite hier ist der bestehende Shop eindeutig zu überdimensioniert. Ok, ich hatte Pläne hier noch einige weitere Produkte (gerade aus dem DDR-Spielzeug-Bereich) einzustellen. Bisher blieb es aber immer nur bei diesen Plänen. Ohnehin verkaufen sich die materiellen Produkte eher weniger bei mir. Besser laufen die digitalen Produkte wie Kataloge oder Fotos. Hier habe ich bereits seit längerem verschiedene Absatzwege.

Das Betreiben eines Online-Shops stellt noch einmal höhere Anforderungen an den Betreiber durch die DSGVO. Für mich persönlich sehe ich die geforderte Meldepflicht bei Datenpannen und das zusätzliche erweiterte Verarbeitungsverzeichnis als zu aufwendig bzw. nicht umsetzbar an. Ebenso kommt es beim notwendigen Einwilligungsalter in die Datenverarbeitung durch z.B. Altersverifikationssystem zu weiteren Kosten. Dieser gesamte Aufwand steht nicht mehr zum erwarteten Nutzen.

Meine Überlegungen gehen dahin, den Shop auf meiner Webseite einfach abzuschalten und die Vertriebswege auf dritte Anbieter umzulegen.

Status: [Update 13.04.2018] Der Shop wird höchstwahrscheinlich abgeschaltet. Nach gestrigem Erfahrungsaustausch habe ich mich dazu entschlossen, meinen Shop erst einmal vorübergehend zu deaktivieren. Damit habe ich erst einmal Zeit die Entwicklungen auf diesem Gebiet zu beobachten.

Kommentare

Kommentare sind das Tool, mit denen am meisten auf meiner Webseite Daten erfasst werden. Neben der IP-Adresse des Webseitenbesuchers werden Name, e-Mail-Adresse und die URL der Webseite (optional) erfasst. Diese Daten werden auf meinem Webserver gespeichert. Sie verbleiben also bei uns, bzw. meinem Hoster.

Mit der DSGVO ist es erforderlich, dass der der Kommentierende vor dem Absenden seines Kommentars (und seiner Daten) auf diesem Umstand hinzuweisen ist. Diesen Hinweis muss er explizit bestätigen und somit sein Einverständnis ausdrücken. Zusätzlich sollte in der Kommentarfunktion ebenfalls noch ein Hinweis auf die Datenschutzerklärung vorhanden sein.

Ich nutze für diese Funktion das Plugin WP GDPR Compliance.

Der Verbleib der bei den Kommentaren übermittelten IP-Adressen ist diskussionswürdig. Theoretisch brauche ich die IP-Adressen nicht. Im Falle von gesetzwidrigen, rassistischen oder sonstigen Belangen kann die IP-Adresse (in Verbindung mit weiteren Daten) aber ein Schlüssel zur Identifizierung sein. Mir selbst ist allerdings seit dem Bestehen meiner Webseiten noch nie so ein Fall untergekommen.

Zudem müssen zumindest die (ersten) Kommentare noch von mir freigeschaltet werden. Wenn ich die Speicherung der IP-Adressen abschalte, werde ich jeden einzelnen Beitrag moderieren müssen.

Status: Checkbox in den Kommentaren Datenschutzhinweis hinzugefügt; [Update 15.04.2018] Jedes Kommentar muss nun manuell genehmigt werden; Speicherung oder Löschung der IP-Adressen noch offen

Newsletter

Für meinen Newsletter kann man sich durch das Registrieren der email und ggf. des Namens anmelden. Nach der Registrierung erhält der neue Abonnent eine email, in der er einen Link erhält, über welchen er die Anmeldung bestätigen kann (Double-Opt-in). Name und email werden auf meinem Server gespeichert.

Der Newsletter kann jederzeit wieder über einen Link im Newsletter abbestellt werden. Der Versand meines Newsletter erfolgt ebenfalls über meinen Server ohne Nutzung eines externen Mailanbieters. Eine Datenschutz-Checkbox wurde eingefügt.

Mein Newsletter-System läuft effektiv erst seit Januar. Bevor ich neue Möglichkeiten auf meiner Webseite einführe, überlege ich mir, ob diese überhaupt Sinn machen. Danach lasse ich die neueingeführten Optionen eine Zeitlang laufen und beobachte, wie sie sich entwickeln und welchen Aufwand dies für mich bedeutet.

Sollte ich mit den Ergebnissen des Newsletters nicht zufrieden sein, werde ich diese Möglichkeit ca. zu Jahresende wieder abschalten. Momentan bin ich aber mit dem System und dessen Möglichkeiten (die teilweise noch nicht implementiert sind) sehr zufrieden.

[Update 20.04.2018] Mittlerweile gibt es von meinem genutzten Newsletter-Plugin ein Update, in dem die Programmierer das Plugin mit GDPR ready beschreiben.

Status: erledigt; Double-Opt-in für die Anmeldung und Datenschutz-Checkbox; die gespeicherten Daten verbleiben auf meinem Server; 

Gravatar, Google Fonts, Emoji …

Gravatare – das sind die schönen kleinen Bildchen, die man in der Kommentarfunktion den Kommentierenden zeigen. Ein nettes kleines Gimmick. Aber hier werden Daten mit Dritten ausgetauscht. Wenn jemand auf meiner Webseite kommentiert, schaut das System nach, ob derjenige bei z.B. gravatar.com sein Gravatarbildchen hinterlegt hat und zeigt dieses dann auf meiner Webseite an. Obwohl die Kommentare durch die Bildchen aufgelockert werden hat diese Funktion keine wirkliche Bedeutung für die Webseite.

[Update 24.04.2018] Gleiches gilt auch für solche netten Dinge wie Google Fonts, Emojis etc. Alle diese stellen beim Aufruf einer Webseite eine Verbindung zu einem Drittserver her und rufen von dort dann die Daten ab (und schicken deine Daten zum Drittserver). Damit WordPress bei mir  die Zeichenfolgen für Emojis nicht in herunterzuladene Grafiken umwandelt, habe ich die Funktion dafür in WordPress abgeschaltet.

Google Fonts war bei mir nie ein Thema. Ich nutze die internen Fonts meines Themes, die in der Installation enthalten waren. Die Schriften werden quasi auf meinem Server gehostet.

Status: erledigt durch Abschaltung

Youtube-Video

Auf meiner Webseite habe ich ein paar eigene Videos über Youtube eingebunden. Auch hier ist es nicht DSGVO-konfrom, dass die Videos mit Anklicken gleich gestartet werden. Wie man Youtube-Videos datenschutzkonfrom einbindet, kannst du hier lesen.

Status: noch offen

Social Media Anbindung

Eine Anbindung an Social Media ist heute Standard. Was nützen die besten Beiträge, wenn nur wenige Leser sie kennen. In folgenden social media netzwerken bin ich aktiv:

  • Facebook-Plugin
  • Google+
  • Instagram
  • Twitter
  • Youtube

Schon beim Aufrufen einer Webseite können herkömmliche Share-Programme Daten der Besucher an das jeweilige Netzwerk senden. Um das zu verhindern, kann man plug-ins mit dem sogenannten 2-Wege-Verfahren einbinden. Dabei wird eine Verbindung zum sozialen Netzwerke erst dann aufgebaut, wenn der Besucher erst aktiv auf den Share-Button klickt.

Aus diesem Grund hatte ich seit einiger Zeit das Plug-in Swifty Bar, sticky bar by WPGens in Verwendung. Da ich mir aber in Bezug auf die Datenweiterleitung in diesem Plug-in nicht sicher bin (und dieses Plug-In auch vor 5 Monaten das Mal aktualisiert wurde, habe ich kurzerhand die Share-Funktion dafür abgeschaltet. Ab nun kommt bei mir auch Shariff Wrapper zum Einsatz.

Status: erledigt durch Shariff

SSL-Verschlüsselung (https:)

Eine SSL-Verbindung sollte eigentlich schon zum Standard einer Webseite gehören. Mit einer solchen Verbindung ermöglicht man das sichere (weil verschlüsselte) Senden und Empfangen von Daten. Erkennbar sind sichere Webseiten am grünen Schloss und dem https:// vor der Domain.

Status: erledigt, weil bereits länger im Einsatz

Cookies
Plug-In’s

Paypal (Moneypool)

Jet-Pack

Werbetracker

Google Adsense

Doublecklick

Statistiktracker

VG Wort

Google-Analytics

Verarbeitungsverzeichnis
Cloudspeicher

Einige der Punkte habe ich bereits umgesetzt, andere teilweise. Bei einigen habe ich noch nicht begonnen. Noch ist etwas Zeit bis zum Stichtag am 25.05.2018. Bis dahin werde ich diesen Beitrag auch nach Stand der Arbeiten und aufgrund weiterer Neuigkeiten updaten.

Wie setzt du die DSGVO auf deinem Blog um? Hast du Anregungen oder Meinungen, dann schreib diese doch einfach in die Kommentare.

Torsten

Torsten

Hallo,ich bin Torsten. Das Leben machte mich zum Optimisten mit Lebenserfahrung, Abenteurer, Naturschützer, Forstarbeiter, Logistiker, Journalist, Eurovisionär, Sammler, Schriftsteller, Künstler …
Torsten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.