-Werbung/ In Kooperation mit dem Datenschutzbeauftragten Christian Graf –
Der Datenschutz ist im Grunde nichts Neues, aber das schärfere Gesetz, dass gegen Ende Mai in Kraft tritt, bereitet so manchem Unternehmer und Blogger schlaflose Nächte. Viele kleine Blogs haben aus Angst etwas falsch zu machen und abgestraft zu werden, sogar ihre Blogs gelöscht. Auch so manches kleine Unternehmen findet man plötzlich nicht mehr unter seiner Webadresse.
In den letzten Wochen habe ich sehr viel zu diesem Thema recherchiert und extrem viel dazu gelernt. Heute möchte ich denjenigen weiterhelfen, die vielleicht immer noch etwas ratlos sind und mit der Materie noch gar nicht vertraut sind.
In gewisserweise kann ich die Leute verstehen, bei denen die Nerven blank liegen, weil sie weder von Plugins und Cookies, noch von Programmierung eine Ahnung haben. So ein Exemplar war ich nämlich selbst noch vor einigen Wochen. Auch wenn ich mich jetzt weitaus besser auskenne, bin ich längst kein Experte, deshalb werde ich dir Schritt für Schritt aufzählen, was ich bisher gemacht habe, um meinen Blog DSGVO konform zu machen. Hilfe bekommst du hier auch vom Datenschutzbeauftragten Christian Graf, denn der Experte hat mir 10 Fragen beantwortet, die besonders oft von Laien gestellt werden.
Du solltest alles so gut wie möglich umsetzen und die neue DSGVO ernst nehmen, denn du willst schließlich Leser oder Kunden. Du willst, dass diese ihr Feedback auf deiner Seite lassen oder irgendwie mit dir in Kontak treten, kommunizieren. Du willst, dass sie ihre Zeit auf deinem Blog verbringen oder sich für dein Angebot entscheiden, also bist du es ihnen zumindest schuldig, dass du sorgsam mit ihren Daten umgehst. So sehe ich das zumindest. Klar, du bist bestimmt auch vorher schon vorsichtig im Umgang mit deren Daten gewesen, aber wie sieht das mit den Anbietern (zB. Plugins) aus, die ebenfalls Zugriff auf diese Daten haben?
.
ACHTUNG:
Ich bin keine Expertin und habe daher meine Fragen
an den Datenschutzbeauftragten Christian Graf gestellt.
Dieser Beitrag ist keine Rechtsberatung!
Weder Herr Graf, noch ich selbst, übernehmen die Haftung auf Richtigkeit!
.
.
10 Fragen von Laien an den Datenschutzbeauftragten Christian Graf:
.
Es heißt, dass es möglich ist, Blogs und Internetseiten auf Plugins zu checken, die personenbezogene Daten speichern. Es soll unter anderem mit dem Add-on Ghostery und über die Chrome Einstellungen funktionieren. Gibt eines dieser Tools wirklich Aufschluss darüber?
Ghostery ist ein Google-Chrome-Plugin, das Websites auf sogenannte Tracker untersucht. Das gibt schon einen sehr guten Überblick für User, was im Hintergrund so alles passiert. Ich verwende meistens die Developer-Tools. Man ist hier allerdings sehr schnell in den Tiefen des Codings unterwegs.
Das Einbinden von YouTube Videos und Soundcloud Spuren, soll nicht DSGVO konform sein! Welche Möglichkeiten gibt es, nach wie vor Videos in einen Blog Beitrag einzufügen?
Das Plugin Disable Embeds deaktiviert Embeds, durch die Daten an Dienste wie YouTube, Facebook, Twitter und Co. übertragen werden können.
In der Datenschutzerklärung muss genau beschrieben werden, wofür zB. IP-Adressen gespeichert werden. Muss ich als Blogger die IP-Adressen löschen, die durch vergangene Kommentare gespeichert wurden?
Wenn es einen Grund gibt (Rechtsgrundlage, z.B. berechtigtes Interesse oder Einwilligung) die IP-Adressen aufzubewahren (z.B. zum Schutz vor Brute-Force- und DDoS-Angriffen oder um Kommentar-Spam Spammer zu identifizieren) muss man nicht zwangsläufig löschen. Wenn die IP-Adresse allerdings nicht unbedingt erforderlich ist, gibt es auch Plugins wie Remove Comment IPs (die IP-Adressen von Kommentatoren werden nach 60 Tagen gelöscht) und Remove IP (IP-Adresse werden beim Kommentieren gar nicht gespeichert).
In einigen Foren wird gemunkelt, dass Affiliate Links nur noch als Text und nicht in Form von Bildern zulässig sind. Da nur bei Affiliate Textlinks keine Daten gespeichert werden. Stimmt das?
Das kann ich nicht pauschal beantworten. Das kommt darauf an, wie der Code dahinter aussieht.
Mit Inkrafttretens der DSGVO sollen auch der Pin it Button und die Tweet it Funktion Geschichte sein. Welche Möglichkeiten gibt es, diese DSGVO konform zu Nutzen?
Die Frage ist, ob der User informiert über die Vorgänge ist und für die Verwendung eine Rechtsgrundlage besteht. Ohne Hinweis (siehe Cookie-Notice) ist es nicht ok, dass auf Userdaten, wie im Browser gespeicherte Cookies – zugegriffen wird. Eine Lösung ist z.B. ein Schieberegler, mit dem der User selbst die Services einschalten kann. Da geht es aber auch schon stark in das Telekommunikationsgesetz, dass durch die EU-ePrivacy-Verordnung gerade neu geregelt werden soll.
Google Fonts werden ebenfalls in Zusammenhang mit der DSGVO sehr kritisch betrachtet. Aber wie erkenne ich, ob mein Theme Google Fonts anbietet bzw. nutzt und wie kann ich diese Löschen, ohne ein neues Theme kaufen zu müssen?
Ja, auf solche Verwendungen muss man achtgeben. Der Browser übergibt beim Laden der Google Fonts die IP-Adresse und diese gilt als personenbezogenes Datum. Auf die Verwendung von Google-Fonts sollte man in der Datenschutzerklärung hinweisen. Die bessere Variante ist, Schriften auf der eigenen Website einzubetten, dann werden beim Laden keine Daten an andere Dienste übergeben. Bei den meisten Themes ist das Out of the Box möglich.
In einem Forum wurde gesagt, dass es sinnvoll sei, die Impressums- bzw. Datenschutzseite auf noindex zu stellen? Wie sinnvoll finden Sie diese Lösung und ist es überhaupt möglich, eine einzige Seite des Blogs auf noindex einzustellen?
Es gibt ganz viele Fragen und Diskussionen in diversen Foren und Sozialen Medien. Wie das meiste im Leben können auch diese Fragen nicht pauschal beantwortet werden, es gilt im konkreten Fall Für und Wider abzuwägen.
Allgemein wird über WordPress.org und WordPress.com gesagt, sie seien nicht DSGVO konform. Was können Blogger selbst einstellen und unternehmen, damit sie auf dieser Plattform weiterhin aktiv sein können und trotzdem nicht gegen die DSGVO verstoßen.
Das deckt sich mit meinem Informationsstand, insbesondere, weil (noch) kein Auftragsdatenverarbeitungs-Vertrag angeboten wird. Das sollte sich aber in Kürze ändern. Hier ein Link zur Information des Anbieters!
Gibt es einen österreichischen Online Datenschutzgenerator oder kostenlose Services mit Information zu erlaubten Plugins?
Es gibt die Vorlage der WKO , die eine gute Grundlage bildet.
Bei Plugins kommt es auch immer darauf an, wie man sie verwendet und welche Daten sie verarbeiten und wo. Es gibt auch Extra-Plugins, um Plugins DSGVO-konform zu verwenden.
Ganz heikel soll es mit Social Share Buttons sein! Es gibt das Plugin Shariff, dass keine personenbezogenen Daten speichert. Allerdings sieht man auch ein Problem in der Facebook-Checkbox, Instagram Widgets (die auf so gut wie jedem Blog zu finden sind und den Instagram Account zeigen) und sogar in den Social Media Icons. Was ist wirklich heikel und wie können Blogger diese Tools nutzen und dennoch DSGVO konform handeln?
Das sehe ich auch so. Aus DSGVO-Sicht ist es wichtig, dass keine Userdaten abgegriffen werden, ohne, dass der User das aktiv veranlasst (oder in informierter Weise zugestimmt hat). Ok ist, wenn der Button einfach ein Link zur jeweiligen Page ist, nicht ok wäre, mit dem Button die Page gleich zu liken. Dann müssten nämlich zuvor Nutzerdaten abgegriffen werden.
Bei all dem DSGVO Chaos in diversen Foren, ist mir aufgefallen, dass viele Blogger auch zu wenig über das Impressum informiert sind. Wann ist es verpflichtend, seine gesamte Adresse und den vollen Namen anzugeben und was muss noch in einem Impressum stehen?
Was im Impressum einer Website stehen muss hat mit der DSGVO weniger zu tun als mit dem Unternehmensrecht, der Gewerbeordnung, dem eCommerce-Gesetz und dem Telekommunikationsgesetz. Siehe hier. Bezüglich DSGVO müssen Betroffenen über Name und „Kontaktdaten“ des Verantwortlichen der Datenverarbeitung informiert werden. „Kontaktdaten” ist im Gesetz nicht genau beschrieben, lässt sich, wenn man den Blickwinkel von Betroffenen einnimmt, aber leicht ableiten.
.
.
Schritt für Schritt Anleitung für Laien –
Das waren meine Schritte bisher
.
- Seite checken mit Add-on Ghostery (Vorsicht bei der Nutzung können Probleme mit Pinterest und Twitter auftauchen) und in Coogle Chrome – Untersuchen – Sources.
- Plugins austauschen die heikel sind. Statt Akismet verwende ich nun Antispam Bee. Hier musst du aber folgendes deaktivieren, damit das Plugin DSGVO konform ist: „Öffentliche Spamdatenbank berücksichtigen“ und „Kommentare nur in einer bestimmten Sprache zulassen“. Für Statistik-Plugins gibt es schon unterschiedliche Lösungen. Mit WP Statistics lassen sich zB. die IP-Adressen anonymisieren und das Plugin Statify speichert gar keine personenbezogenen Daten. Ladezeit- und Performance Plugins stellen nur selten ein Problem dar. Die Gängigsten (Autoptimize, W3 Total Cache, WP Fastest Cache) speichern keine personenbezogene Daten. Gleiches gilt für SEO-Plugins.
- Datenschutzhinweise sichtbar auf dem Blog unterbringen, also nicht versteckt in einer About-Seite oder nach ewigem scrollen. In Deutschland gibt es einige Datenschutz-Generatoren. In Österreich eine Vorlage der WKO.
- Meinen Blog vom Datenschutzbeauftragten (WKO gefördert) checken lassen.
- Google Fonts Lösung: Google Font API Plugin! In meinem Theme sind Google Fonts integriert, werden aber nicht auf meiner Seite geladen. Mit dem Plugin Google Font API kannst du die Google Fonts ausfindig machen, falls du keine Ahnung hast, welche Schrift du nutzt!
- Ich bin in einigen DSGVO Facebook Gruppen, wo es immer wieder neue Informationen und Hilfe gibt.
- ADV-Verträge abschließen! Mit wem brauchst du ADV-Verträge? Ua. mit deinem Hoster, dem Newsletter Dienst, mit Google, wenn du die Dienste GoogleAdWords, Google Analytics, Google Tag Manager und Google Cloud nutzt und auch mit Dropbox, falls du deine BackUps hier speicherst. Das waren nur einige Beispiele!
- Verfahrensverzeichnis anlegen! Angeblich soll es dafür bald eine Software geben, die das nochmal erleichtert.
.
Ein paar Kleinigkeiten sind noch zu erledigen, dann ist das Thema für mich erstmal vom Tisch. Wenn du noch Hilfe brauchst, dann wende dich an einen Datenschutzbeauftragten, wie zB. Christian Graf von CeeQoo. Auf der CeeQoo Homepage findest du auch Blogbeiträge zum Thema DSGVO. Ebenso werden Workshops zum Thema angeboten. In Österreich gibt es die Möglichkeit sich die Beratung von der WKO fördern zu lassen.
Vielen Dank an Herrn Graf für die Informationen!
.
Wie weit bist du mit der DSGVO?
Ich finde es zwar sehr wichtig, den Datenschutz für den Anwender zu stärken, doch bin ich auch der Meinung, hier wurden Regeln erlassen die für viele Seitenbetreiber nicht verständlich sind, bzw. man kaum eine Chance hat, sie umzusetzen da man selbst oft nicht genau nachvollziehen kann was einzelne Funktionen der eigenen Webseite genau machen.
Vielen Dank daher für deinen einfach zu verstehenden Beitrag der gerade dem Neuling zu dem Thema doch leicht verständlich macht, was es zu beachten gibt und wo man ansetzen muss.
Es wird Zeit, sich mit der eigenen Seite auseinander zu setzen und die Chance zu nutzen, die Seite aufzuräumen.
Gerne ;) Danke für dein Feedback!
Ich würde es besser finden, wenn zB. die Plugin Anbieter verpflichtet werden ihr Angebot DSGVO konform zu gestalten.
Das würde allen anderen, die sich mit Programmierung etc. e nicht auskennen, viel Zeit und Nerven sparen ;)
LG
Huhu,
Zu “Das Einbinden von YouTube Videos und Soundcloud Spuren, soll nicht DSGVO konform sein! Welche Möglichkeiten gibt es, nach wie vor Videos in einen Blog Beitrag einzufügen?”
Du hast die Frage ja gar nicht beantwortet. A) Ist es den überhaupt nicht DSGVO konform? Und b) Welche Möglichkeiten gibt es, nach wie vor Videos in einen Blog Beitrag einzufügen? Und vielleicht noch C) Glauben Sie, dass die derzeitigen angebotenen Funktionen eher dem DSGVO angepasst werden oder glaube Sie, dass es einfach illegal ist, diese zu nutzen. Ich mein, die DSGVO gelten ja auch für die sozialen Netzwerke und es wäre ja fatal, wenn sie die Funktionen weiter so anbieten…
Zu Pin it Button und die Tweet it Funktion – Es gibt diese Funktionen auch ohne das Daten analysiert werden. Von daher sollte es kein Problem sein, die Buttons weiter zu nutzen.
Bzg. der IP – Ich meine, dass man allein schon für die neu hinzugefügte Einwilligung zur Datenverarbeitung die IP speichern muss. Denn man hat ja eine Beweispflicht und ich hatte gelesen, dass Gerichte bereits entschieden haben, dass man als Beweis auch die IP haben muss und nur Name/E-Mail nicht ausreichen würden. Könntest Du Deinen Datenschutzbeauftragten mal nach fragen?
Und bezüglich Impressum. Es gibt im Internet bekannte Rechtsanwälte die klar sagen, dass er regelmäßig Inhalte veröffentlicht, schon ein Impressum benötigt. Unabhängig oder er wirtschaftlich denkt oder ein Gewerbe hat.
:D
Lieben Gruss
Pascal
Hi Pascal,
die YouTube Videos in die Blogbeiträge zu integrieren stellt wirklich ein Problem dar. Da personenbezogene Daten gespeichert werden, noch bevor du überhaupt das Video anklickst. Mit dem Plugins Disable Embeds und Embed videos and respect privacy bist du auf der sicheren Seite ;) Damit kannst du also Videos nach wie vor einbinden.
Bezüglich des Pin-it Buttons oder der Tweet-it Funktion – hast du da genauere Infos, wie ich die Buttons weiterhin nutzen kann? Oder vielleicht einen Link ;)
Bezüglich der IP werde ich Herrn Graf noch Fragen, wie das nun ist.
Was das Impressum betrifft, da hast du im Grunde recht. Allerdings habe ich da auch schon so einige Abweichungen von Anwälten gehört.
Dafür aber auch der Link zur WKO Seite, als Ergänzung, damit man sich einen Eindruck verschaffen kann, wie so ein Impressum tatsächlich aussehen sollte ;)
GLG, Tina
Ich habe gelesen, dass wenn man YouTube Videos im Erweiterten Datenschutzmodus einbaut, dass man damit keine Probleme haben sollte. Denn dafür ist der Modus ja da. Und wenn sich YouTube dann doch nicht dran halten sollte, bekommt man wenigstens nicht als Blogger ein dran.
Zu Embeds und übrigens auch Emojis hatte ich von WordPress eine Antwort bekommen, dass Embeds nicht schädlich seien und das die Deutschen es übertreiben mit dem Datenschutz. :D Es geht beim Datenschutz ja erst einmal um die Pflicht der Transparenten Information. Wenn man also Embeds einbauen möchte, dann muss das zwingend in die Datenschutzerklärung. Das man dann irgendwann theoretisch ein Opt-In benötigt, wird allgemein so sein, deswegen glaube ich auch, dass das auch noch kommen wird. :) Und wie gesagt. Ich glaube ja auch, dass viele Dienste und Plattformen sicher auch noch reagieren werden, da sie ja weiterhin möchten, dass Ihre Funktionen eingebaut werden. Von daher. Noch ist ja ein Monat.
Es gibt Pin-it Buttons- und Tweet-it – Plugins die ausschließlich mit Links arbeiten. So ist die Funktion gegeben, aber es werden keine Daten erhoben.
Vielen Dank, dass Du bzw. Beweispflichten nochmal nachfragst.
Ganz liebe Grüße,
Pascal
Hallo Tina, zwischen den 100000 verschiedenen Meinungen, die inzwischen herumgeistern, ist das ein übersichtlicher, unaufgeregter Artikel, der sicher auch BloggerInnen behilflich ist, die sich bisher keine Gedanken gemacht haben. Ich vermute stark, dass es keine 100% Lösung geben wird, bis erste Urteile gesprochen sind. Liebe Grüße aus Salzburg, Claudia
Danke für dein Feedback ;)
Es ist wirklich ein sehr umfassendes Thema. Mit meinem Beitrag wollte ich mal diejenigen ansprechen, die sich noch gar nicht mit dem Thema befasst haben.
Hier kann man ja schonmal Mut fassen, dass es gar nicht so schlimm ist und auch gar nicht so vieler Schritte bedarf. Kein Grund zu verzweifeln, also :)
Es gibt ja schon so viele Beiträge zum Thema, aber ständig ist da von Programmierungen die Rede. Für Laien ist das nur noch komplizierter.
(Deshalb hab ich auch 2 Monate gebraucht, um das alles mal zu kapieren :D )
Den Beitrag wollte ich relativ einfach halten, denn zum Anfangen ist das meiner Meinung nach der beste Weg.
GLG, Tina