Die DSGVO für Blog-Betreiber – Dem Grauen begegnen

, , ,

Die DSGVO bereitet Blogbetreibern und Website-Administratoren derzeit schlaflose Nächte. Zurecht. Denn eigentlich kann man als Blogger unter dem Damoklesschwert der DSGVO eigentlich nur mit einer guten Flasche Wein, die man bevorzugt gemeinsam mit einem befreundetem Rechtsanwalt leeren sollte, oder alternativ mit einem Handtuch panikfrei schlafen.

Um was geht es für Blogger bei der DSGVO?

Es geht um die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“. Und so klar und bündig wie der Titel ist das ganze Ding, das wir als DSGVO kennen, und das am 25. Mai in Deutschland in Kraft treten wird.

Die DSGVO dient dem Datenschutz, ist also erstmal ganz sinnvoll und grundsätzlich zu begrüßen. Das Problem ist eher, dass unsere Wirklichkeit auf sie überhaupt nicht eingestellt ist. Und dass viele Dinge zwar reglementiert, aber nicht geregelt werden. Man kann sich mit einigen Vorkehrungen zwar die sie vorbereiten, niemand weiß aber mit Bestimmtheit zu sagen, ob das was man da tut und ich im Folgenden empfehle werden, ausreichend sein wird. Deshalb geht es in diesem Beitrag auch nicht um eine verbindliche Rechtsauskunft. Vielmehr beschreibe ich, was ich auf den von mir betreuten Blogs und Web-Seiten unter WordPress in Sachen DSGVO derzeit tue. Und für weitergehende Tipps bin ich jederzeit offen. Auch weil es um viel Geld geht. Denn ein weiteres Problem ist, dass bei einem Vergehen gegen die DSGVO bis zu 20 Millionen Euro Strafe drohen. Und wer hat das schon passend, so er nicht Mark Zuckerberg heißt …

Cookie-Hinweis mit Plätzchen-Plug-in

Eigentlich ist es nicht neu, dass auf die Verwendung von Cookies hingewiesen werden muss. Aber jetzt ist ein guter Zeitpunkt das nachzuholen, wenn es noch nicht geschehen ist.  Mein Tool-Tipp: Mit Cookie Notice kannst du deine Besucher elegant darüber informieren, dass deine Seite Cookies benutzt.

Das Plug-in eignet sich auch – für mich wichtig –  für mehrsprachige Blogs und Websites unter WPML. Außerdem kann man auf eine weitere Seite mit der Datenschutzerklärung verlinken. Auch elegant.

Impressum, Verfahrenverzeichnis und Datenschutzerklärung für Blogger

Das ist so ziemlich der langweiligste Content, den ein Blog haben kann, den ein Blog aber auch haben muss! Ein Verfahrensverzeichnis sollte jedes Unternehmen haben und einen Link darauf sollte es in sein Impressum einbauen. Das Verfahrensverzeichnis zählt auf, welche Informationen grundsätzlich im Unternehmen verarbeitet werden. Wir bei vibrio haben das schon vor einigen Jahren angelegt und ich werde das wohl nun auch mal aktualisieren: vibrio  Verfahrensverzeichnis.

Unbedingt notwendig wird mit der DSGVO für alle Blogs und Websites nun aber auch eine Datenschutzerklärung. Die liest sich so spannend, wie einer meiner frühen Wochenmarktberichte während meiner Tätigkeit bei einer geschätzten fränkischen Tageszeitung. Auch hier gibt es ein Beispiel auf unserer vibrio Website: die vibrio Datenschutzerklärung. Für die meisten Blogs wird wohl ein Tool recht nützlich sein, dass die RA-Kanzlei Dr. Schwenke kostenlos ins Netz gestellt hat: der beliebte „Datenschutz-Generator„. 

Impressum und Datenschutzerklärung müssen von jeder Seite aus mit einem Mausklick erreichbar sein. Man sollte das Kleingedruckte also tunlichst nicht im Untermenü verstecken und auch darauf achten, dass der Menüeintrag oder der Link zum Impressum nicht von einem Pop-Up verdeckt werden kann.

Social-Media-Share-Buttons – Wenn der Sheriff zum Blogger kommt

Leider sind viele gängige Plug-ins, die Share-Buttons für Facebook, Twitter und Konsorten anbieten, nicht DSGVO-konform. Diese Plug-ins übertragen ungefragt Daten an die sozialen Netze, die sie einbinden. Viele von Euch werden noch die alte Debatte um 2-Klick-Lösungen erinnern, die vor rund sieben Jahren von den Kollegen der c’t angezettelt wurde. Den Experten der c’t traue ich noch immer, wenn es um die datenrechtskonforme Einrichtung eines Online-Angebots geht. Deshalb empfehle ich dringend die Lektüre ihrer aktuellen Lösung und die Installation des Plug-ins Shariff.  Der Einfachheit halber zitiere ich an dieser Stelle gerne die Kollegen der c’t: 

„Die verbreiteten Share-Buttons stellen ein erhebliches Datenschutz-Problem dar, weil sie unbemerkt Kontakt zu den Servern der sozialen Netzwerke herstellen. So schickt beispielsweise Facebook die Zahl der „Likes“ direkt an den Browser des Besuchers – und protokolliert dabei das individuelle Surf-Verhalten.  Shariff tritt hier als Zwischeninstanz auf: An Stelle des Browsers fragt der Server des Webseiten-Betreibers die Zahl der Likes ab – und dies auch nur einmal pro Minute, um den Traffic in Grenzen zu halten. Der Besucher bleibt hierbei anonym.“

Leider kann man wie immer bei einer Umstellung der Share-Buttons schnell einige der bisherigen Shares in der Statistik und damit auch auf der Anzeige verlieren. Auf meinem privaten Blog sind das schon mal mehr als 100. Schade darum. Aber immerhin sehen die Buttons – deren Design natürlich anpassbar ist – ordentlich aus. Und sie sind jetzt DSGVO-konform:

Blog-Kommentare werden komplizierter

Was ist ein Blog ohne Kommentarfunktion? Mies ist das. Oder ein deutscher Firmen-Blog. Auf ihnen sieht man das aus Angst vor fremden Meinungen leider immer noch häufig. Mit der DSGVO ändern sich nun auch die Vorgaben für die Kommentiererei. Eigentlich logisch: wer einen Kommentar abgibt, der hinterlegt vielleicht seinen Namen, immer aber eine E-Mail-Adresse und manchmal eine Website im Blog-System. Und dem muss er künftig explizit zustimmen. Dieses Einverständnis muss der Blog-Betreiber einholen. Auch hier helfen wieder gängige Plug-ins, zum Beispiel WP GDPR Compliance

In der Regel bieten Blogs aber auch an, dass der Commentatore per E-Mail darüber informiert wird, wenn es weitere Kommentare zu dem von ihm kommentierten Beitrag gibt. Und damit wird schon wieder eine Information erfasst und auch hier benötigen wir wieder ein explizites Einverständnis. Und wieder gibt es ein paar Plug-ins, die uns die Arbeit und die Sorgen abnehmen (und ja: den Blog mit Last befeuern, die die Performanz langsam aber sicher runterziehen). Ein Beispiel: Subscribe to Double-Opt-In Comments.

Newsletter – und noch ein Formular für Blogger

In der Regel hat man für den Versand eines Newsletters einen externen Partner. Bei mir ist das AGNITAS. Aber egal wer der Partner ist: in jedem Fall braucht es einen DSGVO-konformen „Auftragsdatenverarbeitungsvertrag“ (bringt bei Scrabble übrigens immerhin 51 Punkte). Im Zweifel sollte man also spätestens jetzt mit dem Anbieter seiner Newsletter-Lösung sprechen.

Und natürlich kommt man weiterhin um die bekannte Double-Opt-In-Lösung für die Anmeldung nicht herum. Wenn sich der Abonnent über den Blog oder die Website für den Newsletter anmelden können braucht es auch wieder eine formelle Zustimmung zur Speicherung der Daten. 

Google Analytics und die DSGVO

Die Verwendung von Google Analytics für das Tracking ist beliebt, einfach – und eine große Herausforderung für den Datenschutz, erst Recht unter Berücksichtigung der Vorgaben der DSGVO.

Die Anonymisierung der IP-Adressen über Tools wie das von mir geliebte Yoast ist nicht mehr ausreichend. Auf die Nutzung von Google Analytics muss explizit in der Datenschutzerklärung (siehe oben) hingewiesen werden. Dort muss auch ein Hinweis hinterlegt werden, wie der Nutzer die Erfassung seiner Daten durch Google Analytics umgehen kann. Hierfür stehen wieder Plug-ins zur Verfügung, zum Beispiel Google Analytics Germanized oder Google Analytics for WordPress by MonsterInsights. Letzteres sollte man um Google Analytics Opt-Out ergänzen, das genau das tut, was sein Name verspricht. 

Da bei Google Analytics Daten an Google gehen benötigt man einen Auftragsdatenverarbeitungsvertrag mit Google. In den Google Analytics Kontoeinstellungen kann man unter „Zusatz anzeigen“ den „Zusatz zur Datenverarbeitung“ anklicken. Sabrina von lesefreude.at verdanke ich den Hinweis, dass damit zwar der DSVGO genüge getan wird, nicht aber den Vorgaben des deutschen Bundesdatenschutzgesetztes. Das BDSG verlangt einen schriftlichen Vertrag. Google hat hierfür einen Mustervertrag online gestellt, den man ausdrucken, unterschreiben und per Schneckenpost zu Google nach Dublin senden muss. Man erhält dann ein gegengezeichnetes Exemplar zurück. Soviel zum Thema „Digitalisierung“ …

SSL Zertifizierung – der Schlüssel zur Gesetztestreue

Mit Einführung der DSGVO kommt man um eine Umstellung auf SSL, also um die Verschlüsselung seiner Website nicht mehr herum. Tipps zur Umstellung auf https gibt es im Netz zuhauf. Einen der vielen Ratgeber findet man zum Beispiel auf allcodesarebeautiful.com.

Spam-Schutz ohne Rechtsschutz

Das vielleicht beliebteste Anti-Spam-Programm unter WordPress ist wohl zur Zeit Akismet. Um Spam einzudämmen schickt Akismet Kommentarinformationen an einen externen Server. Auch die IP-Adresse des Nutzers wird dabei übermittelt. Ich kann mir nicht vorstellen, dass dies mit der DSGVO vereinbar ist. Einige empfehlen die zusätzliche Installation des Add-Ons Akismet Privacy Policy, welches Kommentarfelder um datenschutzrechtliche Hinweise ergänzt. Ob das ausreichend ist? Sicher bin ich mir nicht. Das gelegentlich als Alternative empfohlene Antispam Bee hat auch einige Haken. Ganz sicher erfordert es ebenfalls eine Einwilligung der Blog-Besucher, da auch hier Daten an einen Kontrollserver übertragen werden. Und ganz sicher ist die Einschränkung auf eine vordefinierte Kommentarsprache juristisch bedenklich, da hierzu komplette Textpassagen zu Kontrollzwecken an einen externen Server weitergereicht werden.

 

Nicht nur beim Spam-Schutz wirft die DSGVO Fragen auf, auf die es heute noch keine finalen Antworten gibt. Die hier vorgestellten Tools und Verfahren bringen einen ein wenig weiter und verschaffen Blog-Betreibern ein wenig mehr Rechtssicherheit. Aber in vielen Dingen sind die Vorgaben der DSGVO einfach zu generisch um klare Handlungsalternativen ableiten zu können. Die ePrivacy-Verordnung wird da sicherlich mehr Rechtsklarheit bringen. Aber genau aus diesem Grund dauert auch die Ausarbeitung und Verabschiedung dieser künftig für Blog-Betreiber wohl wichtigsten Rechtsgrundlage so lange. Vor 2019 ist nicht mit ihrer Finalisierung zu rechnen.  Dann aber wird es umfangreiche neue Regelungen zur Nutzung von Daten durch Website- und Blog-Betreiber geben. Bis dahin hangeln wir uns mühsam mit der DSGVO durch den Dschungel und bauen immer mehr Ballast in unsere Blogs ein. Und wirklich sicher vor künftigen Abmahnteufeln machen wir Blogger uns damit noch lange nicht. 

Handtuch

Was also tun? Ich empfehle eine Flasche Rotwein und/oder ein Handtuch gegen jede Panik (siehe oben).


Titelbild © Santiago_Cornejo @ adobestock.com

16 Kommentare
  1. Matthias Weber
    Matthias Weber says:

    ein öffentliches Verfahrensverzeichnis ist vor dem Hintergrund der Informationspflichten aus Artikel 13 und Artikel 14 DSGVO nicht mehr notwendig.

  2. Michael Kausch
    Michael Kausch says:

    Vorsicht: Gewerbliche Blog-Betreiber kommen grundsätzlich um ein Verfahrensverzeichnis auch unter der DSGVO nicht herum. Die DSGVO kennt nur eine eingeschränkte Befreiung von der Verzeichnispflicht für kleine Unternehmen: „Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt.“ Im Rahmen eines Blogs findet die Bearbeitung aber regelmäßig statt. Allerdings muss das Verfahrensverzeichnis nicht mehr veröffentlicht werden. Haben aber muss man es. Und im Gegensatz zum bisherigen Stand ist auch nicht mehr der Betriebsdatenschutzbeauftragte, sondern ganz klar der Geschäftsführer verantwortlich. Dies dürfte mindestens auf (semi-)professionelle Blogger in der Regel zutreffen.

  3. Claus
    Claus says:

    Warum wird „AntiSpam Bee“ hier kritisiert? Die Funktionen die Daten anderswohin übertragen sind doch extra alle OPTIONAL und alle mit einem gesonderten Warnhinweis „wenn du in der EU bist, dann erst Datenschutzhinweis lesen und besser nicht aktivieren“ versehen (plus weitere Erläuterungen in der Doku).

    Für mich sieht das ideal umgesetzt aus – oder hab ich was übersehen?

  4. P.C.
    P.C. says:

    Ich arbeite als Datenschutzbeauftragter in einem Beratungshaus mit 500 Mitarbeitern. Wir sind natürlich auch werbend unterwegs, haben geschäftliche Blogs und Social Media accounts.

    Zusammenfassend kann ich sagen: so viel Panik, wie in dem Beitrag gemacht wird, kann ich nicht verstehen.

    Verfahrensverzeichniss… Ja, braucht man… Aber am Mai nicht mehr öffentlich. Das war früher und wird durch die DSGVO abgeschafft.

    Übermitteln an andere ist auch nicht so das Problem. Ja, Adv-Vertrag… Und, wenn geht nicht USA, die haben kein so gutes Datenschutz-Niveau.

    Aber die Erlaubnis in der DSGVO ist schwammig und weitreichend:
    Ein Erlaubnisgrund ist, „die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“

    Berechtigtes Interesse… Alles, was hier aufgeführt wurde ist „Berechtigtes Interesse “ EINE Blogbetreibers. Sieht jemand hier „Grundrechte“ verletzt?

    Warum sollte also eine dieser Maßnahmen verboten sein?

  5. Rainer Ostendorf
    Rainer Ostendorf says:

    Vielen Dank für den informativen Artikel zum Thema DSGVO. Ich antworte mal mit einem Zitat: „Das Leben ist einfach, aber wir bestehen darauf, es kompliziert zu machen.“ Konfuzius

Trackbacks & Pingbacks

  1. […] Die DSGVO für Blog-Betreiber – Dem Grauen begegnen […]

  2. […] Die DSGVO für Blog-Betreiber – Dem Grauen begegnen von DampfLog […]

  3. […] Update 1: Ergänzen möchte ich noch folgenden Blogbeitrag, der vieles noch einmal gut verständlich zusammenfasst: http://www.vibrio.eu/blog/die-dsgvo-fuer-blog-betreiber-dem-grauen-begegnen/ […]

  4. […] der kommenden europaweit gültigen Datenschutz-Grundverordnung (kurz DSGVO) angepasst haben. Unter https://www.vibrio.eu/blog/die-dsgvo-fuer-blog-betreiber-dem-grauen-begegnen/ ist ein gut verständlicher Artikel samt To-Do-Liste dazu erschienen, an dem ich mich auch gerade […]

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.