Der Datenschutz ist im Grunde nichts Neues, aber das schärfere Gesetz, dass gegen Ende Mai in Kraft tritt, bereitet so manchem Unternehmer und Blogger schlaflose Nächte. Viele kleine Blogs haben aus Angst etwas falsch zu machen und abgestraft zu werden, sogar ihre Blogs gelöscht. Auch so manches kleine Unternehmen findet man plötzlich nicht mehr unter seiner Webadresse.

In den letzten Wochen habe ich sehr viel zu diesem Thema recherchiert und extrem viel dazu gelernt. Heute möchte ich denjenigen weiterhelfen, die vielleicht immer noch etwas ratlos sind und mit der Materie noch gar nicht vertraut sind.

In gewisserweise kann ich die Leute verstehen, bei denen die Nerven blank liegen, weil sie weder von Plugins und Cookies, noch von Programmierung eine Ahnung haben. So ein Exemplar war ich nämlich selbst noch vor einigen Wochen. Auch wenn ich mich jetzt weitaus besser auskenne, bin ich längst kein Experte, deshalb werde ich dir Schritt für Schritt aufzählen, was ich bisher gemacht habe, um meinen Blog DSGVO konform zu machen. Hilfe bekommst du hier auch vom Datenschutzbeauftragten Christian Graf, denn der Experte hat mir 10 Fragen beantwortet, die besonders oft von Laien gestellt werden.

Du solltest alles so gut wie möglich umsetzen und die neue DSGVO ernst nehmen, denn du willst schließlich Leser oder Kunden. Du willst, dass diese ihr Feedback auf deiner Seite lassen oder irgendwie mit dir in Kontak treten, kommunizieren. Du willst, dass sie ihre Zeit auf deinem Blog verbringen oder sich für dein Angebot entscheiden, also bist du es ihnen zumindest schuldig, dass du sorgsam mit ihren Daten umgehst. So sehe ich das zumindest. Klar, du bist bestimmt auch vorher schon vorsichtig im Umgang mit deren Daten gewesen, aber wie sieht das mit den Anbietern (zB. Plugins) aus, die ebenfalls Zugriff auf diese Daten haben?

.

ACHTUNG:
Ich bin keine Expertin und habe daher meine Fragen
an den Datenschutzbeauftragten Christian Graf gestellt.
Dieser Beitrag ist keine Rechtsberatung!
Weder Herr Graf, noch ich selbst, übernehmen die Haftung auf Richtigkeit!

.

.
10 Fragen von Laien an den Datenschutzbeauftragten Christian Graf:

.
Es heißt, dass es möglich ist, Blogs und Internetseiten auf Plugins zu checken, die personenbezogene Daten speichern. Es soll unter anderem mit dem Add-on Ghostery und über die Chrome Einstellungen funktionieren. Gibt eines dieser Tools wirklich Aufschluss darüber?

Ghostery ist ein Google-Chrome-Plugin, das Websites auf sogenannte Tracker untersucht. Das gibt schon einen sehr guten Überblick für User, was im Hintergrund so alles passiert. Ich verwende meistens die Developer-Tools. Man ist hier allerdings sehr schnell in den Tiefen des Codings unterwegs.

Das Einbinden von YouTube Videos und Soundcloud Spuren, soll nicht DSGVO konform sein! Welche Möglichkeiten gibt es, nach wie vor Videos in einen Blog Beitrag einzufügen?

Das Plugin Disable Embeds deaktiviert Embeds, durch die Daten an Dienste wie YouTube, Facebook, Twitter und Co. übertragen werden können.

In der Datenschutzerklärung muss genau beschrieben werden, wofür zB. IP-Adressen gespeichert werden. Muss ich als Blogger die IP-Adressen löschen, die durch vergangene Kommentare gespeichert wurden?

Wenn es einen Grund gibt (Rechtsgrundlage, z.B. berechtigtes Interesse oder Einwilligung) die IP-Adressen aufzubewahren (z.B. zum Schutz vor Brute-Force- und DDoS-Angriffen oder um Kommentar-Spam Spammer zu identifizieren) muss man nicht zwangsläufig löschen. Wenn die IP-Adresse allerdings nicht unbedingt erforderlich ist, gibt es auch Plugins wie Remove Comment IPs (die IP-Adressen von Kommentatoren werden nach 60 Tagen gelöscht) und Remove IP (IP-Adresse werden beim Kommentieren gar nicht gespeichert).

In einigen Foren wird gemunkelt, dass Affiliate Links nur noch als Text und nicht in Form von Bildern zulässig sind. Da nur bei Affiliate Textlinks keine Daten gespeichert werden. Stimmt das?

Das kann ich nicht pauschal beantworten. Das kommt darauf an, wie der Code dahinter aussieht.

Mit Inkrafttretens der DSGVO sollen auch der Pin it Button und die Tweet it Funktion Geschichte sein. Welche Möglichkeiten gibt es, diese DSGVO konform zu Nutzen?

Die Frage ist, ob der User informiert über die Vorgänge ist und für die Verwendung eine Rechtsgrundlage besteht. Ohne Hinweis (siehe Cookie-Notice) ist es nicht ok, dass auf Userdaten, wie im Browser gespeicherte Cookies – zugegriffen wird. Eine Lösung ist z.B. ein Schieberegler, mit dem der User selbst die Services einschalten kann. Da geht es aber auch schon stark in das Telekommunikationsgesetz, dass durch die EU-ePrivacy-Verordnung gerade neu geregelt werden soll.

Google Fonts werden ebenfalls in Zusammenhang mit der DSGVO sehr kritisch betrachtet. Aber wie erkenne ich, ob mein Theme Google Fonts anbietet bzw. nutzt und wie kann ich diese Löschen, ohne ein neues Theme kaufen zu müssen?

Ja, auf solche Verwendungen muss man achtgeben. Der Browser übergibt beim Laden der Google Fonts die IP-Adresse und diese gilt als personenbezogenes Datum. Auf die Verwendung von Google-Fonts sollte man in der Datenschutzerklärung hinweisen. Die bessere Variante ist, Schriften auf der eigenen Website einzubetten, dann werden beim Laden keine Daten an andere Dienste übergeben. Bei den meisten Themes ist das Out of the Box möglich.

In einem Forum wurde gesagt, dass es sinnvoll sei, die Impressums- bzw. Datenschutzseite auf noindex zu stellen? Wie sinnvoll finden Sie diese Lösung und ist es überhaupt möglich, eine einzige Seite des Blogs auf noindex einzustellen?

Es gibt ganz viele Fragen und Diskussionen in diversen Foren und Sozialen Medien. Wie das meiste im Leben können auch diese Fragen nicht pauschal beantwortet werden, es gilt im konkreten Fall Für und Wider abzuwägen.

Allgemein wird über WordPress.org und WordPress.com gesagt, sie seien nicht DSGVO konform. Was können Blogger selbst einstellen und unternehmen, damit sie auf dieser Plattform weiterhin aktiv sein können und trotzdem nicht gegen die DSGVO verstoßen.

Das deckt sich mit meinem Informationsstand, insbesondere, weil (noch) kein Auftragsdatenverarbeitungs-Vertrag angeboten wird. Das sollte sich aber in Kürze ändern. Hier ein Link zur Information des Anbieters!

Gibt es einen österreichischen Online Datenschutzgenerator oder kostenlose Services mit Information zu erlaubten Plugins?

Es gibt die Vorlage der WKO , die eine gute Grundlage bildet.

Bei Plugins kommt es auch immer darauf an, wie man sie verwendet und welche Daten sie verarbeiten und wo. Es gibt auch Extra-Plugins, um Plugins DSGVO-konform zu verwenden.

Ganz heikel soll es mit Social Share Buttons sein! Es gibt das Plugin Shariff, dass keine personenbezogenen Daten speichert. Allerdings sieht man auch ein Problem in der Facebook-Checkbox, Instagram Widgets (die auf so gut wie jedem Blog zu finden sind und den Instagram Account zeigen) und sogar in den Social Media Icons. Was ist wirklich heikel und wie können Blogger diese Tools nutzen und dennoch DSGVO konform handeln?

Das sehe ich auch so. Aus DSGVO-Sicht ist es wichtig, dass keine Userdaten abgegriffen werden, ohne, dass der User das aktiv veranlasst (oder in informierter Weise zugestimmt hat). Ok ist, wenn der Button einfach ein Link zur jeweiligen Page ist, nicht ok wäre, mit dem Button die Page gleich zu liken. Dann müssten nämlich zuvor Nutzerdaten abgegriffen werden.

Bei all dem DSGVO Chaos in diversen Foren, ist mir aufgefallen, dass viele Blogger auch zu wenig über das Impressum informiert sind. Wann ist es verpflichtend, seine gesamte Adresse und den vollen Namen anzugeben und was muss noch in einem Impressum stehen?

Was im Impressum einer Website stehen muss hat mit der DSGVO weniger zu tun als mit dem Unternehmensrecht, der Gewerbeordnung, dem eCommerce-Gesetz und dem Telekommunikationsgesetz. Siehe hier. Bezüglich DSGVO müssen Betroffenen über Name und „Kontaktdaten“ des Verantwortlichen der Datenverarbeitung informiert werden. „Kontaktdaten” ist im Gesetz nicht genau beschrieben, lässt sich, wenn man den Blickwinkel von Betroffenen einnimmt, aber leicht ableiten.
.

.
Schritt für Schritt Anleitung für Laien –
Das waren meine Schritte bisher
.

• Seite checken mit Add-on Ghostery (Vorsicht bei der Nutzung können Probleme mit Pinterest und Twitter auftauchen) und in Coogle Chrome – Untersuchen – Sources.
• Plugins austauschen die heikel sind. Statt Akismet verwende ich nun Antispam Bee. Hier musst du aber folgendes deaktivieren, damit das Plugin DSGVO konform ist: „Öffentliche Spamdatenbank berücksichtigen“ und „Kommentare nur in einer bestimmten Sprache zulassen“. Für Statistik-Plugins gibt es schon unterschiedliche Lösungen. Mit WP Statistics lassen sich zB. die IP-Adressen anonymisieren und das Plugin Statify speichert gar keine personenbezogenen Daten. Ladezeit- und Performance Plugins stellen nur selten ein Problem dar. Die Gängigsten (Autoptimize, W3 Total Cache, WP Fastest Cache) speichern keine personenbezogene Daten. Gleiches gilt für SEO-Plugins.
• Datenschutzhinweise sichtbar auf dem Blog unterbringen, also nicht versteckt in einer About-Seite oder nach ewigem scrollen. In Deutschland gibt es einige Datenschutz-Generatoren. In Österreich eine Vorlage der WKO.
• Meinen Blog vom Datenschutzbeauftragten (WKO gefördert) checken lassen.
• Google Fonts Lösung: Google Font API Plugin! In meinem Theme sind Google Fonts integriert, werden aber nicht auf meiner Seite geladen. Mit dem Plugin Google Font API kannst du die Google Fonts ausfindig machen, falls du keine Ahnung hast, welche Schrift du nutzt!
• Ich bin in einigen DSGVO Facebook Gruppen, wo es immer wieder neue Informationen und Hilfe gibt.
• ADV-Verträge abschließen! Mit wem brauchst du ADV-Verträge? Ua. mit deinem Hoster, dem Newsletter Dienst, mit Google, wenn du die Dienste GoogleAdWords, Google Analytics, Google Tag Manager und Google Cloud nutzt und auch mit Dropbox, falls du deine BackUps hier speicherst. Das waren nur einige Beispiele!
• Verfahrensverzeichnis anlegen! Angeblich soll es dafür bald eine Software geben, die das nochmal erleichtert.

.

Ein paar Kleinigkeiten sind noch zu erledigen, dann ist das Thema für mich erstmal vom Tisch. Wenn du noch Hilfe brauchst, dann wende dich an einen Datenschutzbeauftragten, wie zB. Christian Graf von CeeQoo. Auf der CeeQoo Homepage findest du auch Blogbeiträge zum Thema DSGVO. Ebenso werden Workshops zum Thema angeboten. In Österreich gibt es die Möglichkeit sich die Beratung von der WKO fördern zu lassen.

Vielen Dank an Herrn Graf für die Informationen!
.

Wie weit bist du mit der DSGVO?

The post DSGVO: 10 Fragen an den Experten + Schritt für Schritt Anleitung für Laien appeared first on Tina In The Middle.