Tastatur, Kopfhörer, Kaffee (Bild: pixabay/Goumbik)

DSGVO? – Wie eine Verordnung Blogger in den Wahnsinn treibt

Am 25. Mai 2018 ist für Blogger auf der ganzen Welt Deadline! Dann müssen die Blogs gemäß der DSGVO eingerichtet sein. Doch was ist das überhaupt? Und wie könnt ihr euch darauf vorbereiten? Was habe ich diesbezüglich bereits erledigt? Was muss ich noch tun? Diese Fragen will ich euch heute beantworten, denn wir sitzen alle im selben Boot.

Vorab-Information: Ich bin keine Datenschutz-Expertin, sondern habe mich selbst auch nur in das Thema eingelesen und arbeite daher autodidaktisch. Ich übernehme also keine Haftung und dieser Beitrag ist auch keine Rechtsberatung. Alle Erkenntnisse, die ich hier wiedergebe, gelten erstmal für Deutschland. Wie die Lage in Österreich und der Schweiz oder sonst wo ist, weiß ich leider nicht.

Was zur Hölle ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

(Quelle: Wikipedia)

Soweit so kompliziert. Für Blogger heißt das, bis zum 25. Mai 2018 müssen ihre Blogs gemäß der Verordnung online sein, sonst drohen Abmahnungen. Es geht vor allem darum, die Daten der Nutzer zu schützen, was in Zeiten von Facebooks Datenskandal etc. immer wieder Thema ist. Durch meine Blogpause hatte ich nicht direkt, mitbekommen, dass diese Verordnung bereits 2016 in Kraft getreten ist. Wir hatten bloß eine zweijährige Schonfrist.

Welche Daten verarbeite ich auf meinem Blog?

Das war gar nicht so einfach herauszufinden. Doch nach etwas Recherche wurde mir klar, was mein Blog eigentlich so an Daten frisst:

  • Namen
  • Cookies
  • IP-Adressen
  • E-Mail-Adressen
  • URLs
  • Darauf muss ich meine Nutzer hinweisen oder, besser noch, dafür sorgen, dass die Datenmenge reduziert wird. Mit diversen Plugins etc. war mir das auch möglich. Näheres erfahrt ihr im folgenden Abschnitt. Eines weiß ich jedoch mittlerweile schon mal: Himmel, bin ich froh, dass ich keinen Newsletter habe. Das hätte noch wesentlich mehr Arbeit bedeutet.

    Was habe ich bereits, um meinen Blog DSGVO-konform zu machen?

    An dieser Stelle kann ich ausschließlich für selbst gehostetes WordPress sprechen. Wie es bei Blogspot oder ähnlicher Software funktioniert, weiß ich leider nicht, da ich diese schlichtweg nicht benutze.

    1. https-Verschlüsselung/SSL-Zertifikat
    Ich habe kurz vor dem Umstieg auf DSGVO-konform, den Host gewechselt und habe dort zunächst ein SSL-Zertifikat dazu gebucht. Bei meinem Host kostet mich das auch nicht extra. Viele Hoster bieten das zu einem Aufpreis an oder schlimmstenfalls überhaupt nicht. Da dieses Zertifikat aber notwendig ist, ist es notfalls sinnvoll über einen Wechsel des Hosters nachzudenken. Am besten zuerst mal bei eurem Hoster nachfragen. Die sollten wissen, wie sie euch helfen können.

    2. Cookies
    Schon länger findet ihr auf so ziemlich allen Seiten den Cookie-Hinweis. Nein, es gibt hier keine gratis Kekse ;-) Aber ich muss euch darauf hinweisen, dass mein Blog eure Cookies verarbeitet, damit ihr beispielsweise kommentieren könnt. Diesen Hinweis habe ich mit dem Plugin EU Cookie Law auf der Seite eingebunden. Schon war ich aus dem Schneider.

    3. Kommentare und Kontaktformuiar
    Wenn ich will, dass ihr weiter fleißig weiter kommentiert, musst ich etwas ändern. Da ihr beim Kommentieren euren Namen, eure IP-Adresse, eure Mailadresse und (freiwillig) eure Webseite hinterlasst, musste ich darauf hinweisen, dass diese Daten auf meinem Webspace gespeichert werden. Das funktioniert mit dem Plugin WP GDPR Compliance. Das gleiche gilt natürlich auch für mein Kontaktformular. Daher habe ich das Plugin gewechselt und bin jetzt wieder bei Contact Form 7, weil dieses Plugin das Häkchen von WP GDPR Compliance unterstützt.
    Um die IP-Adresse eines Nutzers beim Kommentar zu entfernen, gibt es Gott sei dank noch eine Möglichkeit, sodass die Datenmenge am Ende reduziert wird. Remove IP ist zwar schon zwei Jahre nicht mehr aktualisiert worden, aber das Plugin macht seine Arbeit.

    4. Statistik
    Butter bei die Fische: Alle Blogger wollen wissen, wie viele Besucher vorbeischauen etc. Ich habe bis vor kurzem Jetpack von WordPress benutzt. Aber dieses Plugin ist derzeit noch sehr böse. Wenn ihr es noch nutzt und vor dem 25. Mai kommt kein Update, solltet ihr euch dringend nach Alternativen umschauen. Da ich von diesem Allrounder-Plugin vor allem die Statistik benutzt habe, fiel mir die Trennung auch nicht schwer. Nachdem Vanessa das Plugin WP Statistics getestet hat und es mir empfohlen hat, bin ich darauf umgestiegen. Dieses Plugin erlaubt dem Blogger, das Tracking der IP-Adressen zu unterdrücken. Somit werden an dieser Stelle auch keine Daten gesammelt.

    5. Antispam
    Es ist ein allgemeines Problem. Kaum hat man einen neuen Beitrag veröffentlicht, gibt es die ersten Spam-Kommentare. Lange habe ich Akismet benutzt, weil es in Jetpack drin war. Aber dieser Datenschlucker musste jetzt natürlich auch weg. Derzeit benutze ich Antispam Bee, aber ehrlich gesagt, bin ich noch nicht schlüssig darüber, ob dieses Plugin wirklich DSGVO – konform ist, denn, wenn man zehn Artikel darüber liest, bekommt man dazu auch zehn Meinungen. Daher bin ich sehr dankbar für jeden Tipp diesbezüglich.

    6. Datenschutzerklärung
    Vielleicht habt ihr noch meine alte Datenschutzerklärung gesehen. Die war ja schon ziemlich lang – aber die neue Erklärung steht ihr in nichts nach. Im Gegenteil: Sie ist länger geworden, weil ich jetzt jeden Kleinkram erwähnen muss. Ich wünsche euch viel Spaß beim Lesen ;-) Die Datenschutzerklärung habe ich natürlich nicht selbst geschrieben, sondern sie mit einem Generator erstellt. Ich hoffe inständig, dass das so passt. Aber sobald e-recht24 die neue für alle freigibt, werde ich die angleichen.

    7. Social Media Sharing
    Mal schnell einen Beitrag teilen, der einem gefällt. Geht ganz einfach. Ist aber ebenfalls mit Daten verbunden. Um auch da abgesichert zu sein, habe ich das Plugin Shariff Wrapper installiert. Dieses hat den Vorteil, dass die Daten des Users erst gesendet werden, sobald er den Button benutzt.

    8. Gravatarbildchen
    Wir kennen sie sicher alle. Die niedlichen Gravatarbildchen bei Kommentaren. Aber die knuffigen Bilder sind richtige Datenkraken. Daher hab ich sie abgestellt. Kurz und schmerzlos. Sieht jetzt sowieso besser aus.

    9. Emojis
    Ja, auch das sammelt Daten. Wenn WordPress :-) oder :-P umwandelt, werden Daten von einem fremden Server geladen und dadurch die Daten des Users übertragen. Das kann man über die Einstellungen im Menüpunkt “Schreiben” von WordPress ausschalten, dann werden die Smileys einfach nicht mehr umgewandelt. Außerdem habe ich das Plugin Disable Emoji und bin dadurch doppelt abgesichert.

    Was für mich noch aussteht

    Daten beim Hoster
    Logischerweise speichert auch mein Hoster Daten vor allem IP-Adressen. Daher benötige ich einen Vertrag zur Auftragsdatenverarbeitung. Da muss ich mal noch schauen, ob es einen Vordruck gibt oder wie genau ich da vorgehen muss, aber mein Hoster hat einen tollen Support. Aus diesem Grund denke ich, dass dieses Problem schnell aus der Welt geschafft sein wird.

    Verarbeitungsverzeichnis
    Das ist ein zweischneidiges Schwert. Niemand weiß genau, ob man es braucht oder nicht. Ich habe gelesen, dass es in der DSGVO heißt, dass ein Unternehmen 250 Mitarbeiter haben muss, damit man ein solches Verzeichnis benötigt. Andere Quellen sagen, jeder benötigt es. Daher ist diese Sache erstmal hinten angestellt, bis ich genau durchgestiegen bin, was ich genau ich beachten muss. [Edit 6.4.18: Mittlerweile bin ich zur Erkenntnis gekommen, dass ich das Verzeichnis auf jeden Fall brauche. Ich muss es nur noch anlegen etc.]

    Update Wordfence
    Derzeit warte ich noch auf ein Update des Plugins Wordfence, da ich darauf ungerne verzichten würde. Die Macher haben aber bereits versprochen, dass pünktlich etwas kommen wird. Diese Plugin nutze ich für die Sicherheit meiner Seite. Gegen Hackerangriffe etc. Und es ist auch echt gut. Daher hoffe ich, dass das klappt.

    Worum ich mich nicht kümmern musste

    Google Analytics & Fonts
    Die geliebte Datenkrake Google – ich hatte zum Glück nie das Plugin von Analytics verwendet, daher muss ich da auch keine Abkommen schließen oder ähnliches abwarten. Denn ich merke aktuell, vor welchen Problemen Nutzer von Blogspot stehen, weil Google scheinbar sehr langsam die Umstellung auf DSGVO vornimmt. Das ist nicht meine Baustelle.

    Werbetracker
    Ich habe keine Werbung geschaltet. Kein Google Adsense. Keine Links zu Amazon oder sonst was. Wenn ich Links zu Amazon setze, sind das keine Affiliate-Links sondern “echte” Links, an denen ich nichts verdiene.

    Wie ich “böse” Plugins finde

    Es war gar nicht mal so einfach, Plugins etc. zu finden, die irgendwie tracken. Dank diverser Tipps bin ich dann auf das Browser-Addon Ghostery gestoßen. Man glaubt gar nicht, wo überall getrackt wird. Aber mittlerweile zeigt die App keine Tracker mehr bei mir an. Falls jemand doch noch was findet, müsst ihr mir bitte direkt Bescheid geben, damit ich mich darum kümmern kann. Auch wenn ihr sonst irgendwie noch etwas seht, was ich vergessen haben könnte, dürft bzw. sollt ihr mir natürlich direkt mitteilen, was ihr entdeckt habt.

    14 Replies to “DSGVO? – Wie eine Verordnung Blogger in den Wahnsinn treibt

    1. Hey,

      ich habe deinen Post über tumblr gefunden. Daher mal meine Frage: Kann man tumblr überhaupt datenschutzkonform verwenden? Das ist ja schon anders als ein WordPress-Blog oder so, wo du die Sachen ja im Normalfall bei einem deutschen Webhoster liegen hast und auch selber viel bestimmen kannst, was wie gesammelt und verarbeitet wird.
      Irgendeine Idee?

      Viele Grüße

      1. Hey, ehrlich gesagt, war ich noch nicht soweit. Mit Tumblr muss ich mich noch auseinandersetzen :( Aber das nehme ich auf jedenfall noch auf meine to do Liste auf. Danke, das wäre nur doch glatt durchgegangen.

    2. Hey ho,
      während du mir gerade eine Nachricht im Facebook Messenger geschickt hast, habe ich deinen Blogbeitrag gelesen :-). Da kommt ja noch einiges an Arbeit auf mich zu. Ich werde mich am Wochenende mal hinsetzen und ein paar Sachen ändern. Umziehen werde ich aber wahrscheinlich trotzdem nicht, da ich nach wie vor nicht glaube, dass Google seine Nutzer im Regen stehen lässt. Schließlich gab es auch irgendwann dieses Gesetz, indem erwartet wurde, dass man den Cookie Hinweis auf seiner Website einblenden musste und den hat Google auch “einfach automatisch” beigesteuert. (Ja ich weiß, schräger Vergleich :-) ).
      viele Grüße
      Emma

      1. Huhu :)
        Zufälle gibt’s :D
        Ich drücke dir die Daumen, dass alles einigermaßen reibungslos funktioniert. Eigentlich kann sich Google nichts anderes leisten. Es wäre ja selten dämlich, wenn sie nichts tun und dann User verlieren.

        liebe Grüße
        Jess

    3. Hey Jess,
      sehr guter Artikel, der viele wichtige Infos zusammen fasst. Macht mir auch ein gutes Gefühl, weil ich viele Dinge schon gemacht habe.

      Ich finde allerdings keine Option, die Emojis abzuschalten. Werde wohl also doch auch das Plugin benutzen.

      Vielen Dank und liebe Grüße
      Magdalena

      1. Hallo Magdalena,

        danke für dein Feedback :)
        Aber verrückt, du bist jetzt schon die zweite, die sagt, dass es keine Option zum Abschalten gibt. Bei mir gibt’s die schon ewig. Sehr seltsam. Vielleicht kam sie mit einem Plugin oder so. Aber wenn du das Plugin installierst, solltest du aus dem Schneider sein.

        Liebe Grüße
        Jess

    4. Hallo Jess

      Zu Deiner Unsicherheit zum Verarbeitungsverzeichnis, Du brauchst eines. Erst heute ein Livestream mit einem Datenschutzexperten gesehen. Klare Aussage, die regelmäßige Verarbeitung von Daten hebt die 250 Mitarbeiter-Regel auf. Und als Blogger verarbeitest Du regelmäßig Daten, bei jedem Besuch Deiner Webseite, bei jedem Kommentar.

      LG Thomas

    5. Liebe Jess,

      da ich derzeit Urlaub und Zeit dafür habe, dachte ich mir, ich richte meinen Blog DSGVO-freundlich ein. Gesagt, getan. Ich bin auch sehr über deinen Beitrag dazu froh!

      Besten Dank dafür und ein schönes Wochenende

      1. Liebe Marie,
        ich wäre auch froh, wenn ich Urlaub hätte und mir die Zeit nehmen könnte. So muss ich eben einfach um alles herum organisieren :) Aber klappt ganz gut, wenn man die richtigen Anhanltspunkte hat.

        schönes Wochenende <3

    6. Ich habe jetzt auch noch zwei Sachen umgestellt, weil ich es bei dir gelesen habe.
      Das Projekt mit dir zu machen macht wirklich Spaß! Aber neue Verordnungen könnte sich die EU dann bitte sparen :)

      Ich freue mich schon auf das Umstellen auf https hihi.

      Danke dir für den tollen beitrag :)

      xoxo Vanessa

    7. Typisch EU! Seit wann haben diese Möchtegern-Politiker schon Nägel mit Köpfen gemacht?
      Ein überbezahlter nichtsnutziger Koloss.

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    WordPress Cookie Hinweis von Real Cookie Banner