DSGVO ANPASSUNG FÜR BLOGGER | MEINE BLOG-UPDATES

DSGVO KONFORM? WAS ICH UMGESETZT HABE

Herausforderung DSGVO: Was habe ich getan, um meinen Blog an die neuen Datenschutzrichtlinien anzupassen? Zunächst möchte ich darauf hinweisen, dass mein Artikel und meine DSGVO-Tipps keinerlei Rechtssicherheit bieten und ich nur von meinen persönlichen DSGVO-Anpassungen berichte.

DSGVO: MACHEN DIE DATENSCHUTZRICHTLINIEN SINN?

Nichts gegen Datenschutz, aber ich halte die neuen Richtlinien der DSGVO für Blogger weder für praxisnah noch wirklich sinnvoll. Ein Pin it Button darf plötzlich nicht mehr eingesetzt werden? Tagelange Anpassungen sind von Nöten damit Menschen noch meinen Newsletter erhalten können. Ist dies praktikabel und realitätsnah? Wie soll ein kleiner Blogger hier wirklich durchblicken?

Manch einer wird sich kaum in der Lage sehen, die nötigen Anpassungen technisch umzusetzen. Zudem scheint niemand wirklich sicher zu sein, was nun rechtens ist. Datenschutz ist sicherlich eine wichtige Aufgabe, aber wie nah sind die Vorschriften an der Realität? Wenn ich einen Newsletter abonniere, ist mir klar, dass hierzu meine E-Mail-Adresse irgendwo gespeichert wird. Doch Abonnenten müssen nun nachträglich noch mehrstufige Zustimmungsprozesse durchlaufen. Viele fühlen sich durch die Hinweise verunsichert. Nicht nur ich werde bestimmt eine Menge Abonnenten verlieren.

Viele der Datenschutzrichtlinien der DSGVO halte ich einfach nicht für praxisnah – gerade nicht für Blogger und kleine Blogs. Eine allgemeine Rechtssicherheit herrscht sowieso nicht. Kaum ein Anwalt kann tatsächlich sagen, was genau getan werden muss, um die neue DSGVO richtig umzusetzen. Über die neuen Datenschutzrichtlinien freuen sich vermutlich am meisten Abmahnanwälte, die hier eine neue Einkommensquelle wittern.

DATENSCHUTZ VS PERSÖNLICHKEITSRECHT

Nun muss ich also zur Anpassung an die neuen DSGVO meine Leser erschrecken, belehren und mit sinnlosen Paragraphen konfrontieren. Kaum jemand wird meine Datenschutzerklärung von A-Z lesen. Sicherheit für den Leser in jeder Hinsicht: IP-Adressen sollen möglichst nicht gespeichert und Daten müssen nun auf Anfrage gelöscht werden.

SICHERHEIT FÜR BLOGGER?

Doch wie sicher bin ich als Blogger, wenn ich gezwungen bin meine Privatadresse ins Netz zustellen? Als Blogger bin ich verpflichtet im Impressum meine volle Adresse auf dem Blog preiszugeben. Hier wünsche ich mir Datenschutz! Dies ist ein Punkt bei dem ich mich in meinem Persönlichkeitsrecht durchaus bedroht fühle.

EINLADUNG ZUM STALKEN

Die meisten Blogger arbeiten im Home Office und ein Großteil der Blogger sind Frauen, die sich im Netz präsentieren. Dies ruft auch Stalker und Kriminelle auf den Plan. Jeder Verrückte bekommt quasi eine Einladung, einem zu Hause aufzulauern. Postet man Urlaubsbilder, kommt das schon fast einer Aufforderung gleich einzubrechen. Wo findet hier ein Schutz der Daten und Persönlichkeitsrechte statt? Warum reicht hier nicht eine E-Mail-Adresse, über die man den Blogger erreichen und die Anschrift anfordern kann? Das kann ja durchaus mit einer Verpflichtung einhergehen, dass man gezwungen ist, sich innerhalb eines bestimmten Zeitraums zurückzumelden.

Zum Thema “öffentliche Anschrift” würde ich mir eine echte Änderung wünschen. Die erzwungene Veröffentlichung einer Home-Office-, sprich Privatadresse, ist wirklich nicht zeitgemäß und sogar recht gefährlich.

DSGVO ANPASSUNGEN

Ehrlich gesagt, kommt die DSGVO Verordnung für mich im denkbar ungünstigsten Augenblick. Derzeit gibt es so viele andere Baustellen in meinem Leben. So habe ich meine Anpassungen erst einmal auf das absolut Notwendigste beschränkt. Dafür habe ich auch in Kauf genommen, einige Features komplett zu streichen und mein Blog-Layout (vorübergehend) zu vereinfachen. Dennoch ist eine Menge Aufwand und Arbeit zusammengekommen.

MEINE MASSNAHMEN FÜR DIE NEUE DSGVO

Hier erfahrt ihr nun, was ich getan habe, um meinen Blog den DSGVO Richtlinien anzupassen. Viele Plug-ins, vor allem solche, die in Kontakt mit sozialen Netzwerken treten, sind nicht DSGVO konform. Optionen müssen angepasst und mit entsprechenden Hinweisen in der Datenschutzerklärung versehen werden. Gerade Abonnements für Newsletter, Kommentare und Blogbeiträge erfordern das Abfragen bestimmter Daten. Auch Sicherheits-Plug-ins zur Spamabwehr sammeln Informationen, die so nicht mehr DSGVO kompatibel sind. Daher gibt es viel zu beachten. So bin ich vorgegangen:

1. Recherche & Analyse: Welche Daten werden auf meinem Blog gesammelt und wozu?
2. Einlesen: Zahlreiche Blogartikel habe ich studiert, um Lösungen und finden und zu erfahren, welche meiner Plug-ins im Hinblick auf DSGVO problematisch sind. Auf blogmojo.de findet man eine umfangreiche Liste mit WordPress Plug-ins. Diese sind im Hinblick auf die DSGVO kategorisiert nach Stufen von ungefährlich bis unzulässig. Hinzu werden Anpassungsoptionen aufgezeigt, um gewisse Tools auch DSGVO konform verwenden zu können. Toll sind auch die Tipps von Dr. Thomas Schwenke, der auch einen wirklich sehr guten Generator für die Datenschutzerklärung anbietet.
3. Notwendige Anpassungen:
   • Blog auf “https” umstellen (wenn noch nicht geschehen)..
   • Alte “unsichere Links” (http) auf https korrigieren! Dies ist besonders wichtig für extern geladene Bilder und Banner! Werden diese über “http” geladen, wird die Seite als “nicht sicher” angezeigt, auch wenn sie selbst auf “https” umgestellt ist!
   • Auftragsdatenverarbeitungs-Vereinbarungen abschließen.
   • Plug-ins ersetzen & Einstellungen ändern.
   • Newsletter DSGVO konform anpassen.

UMSETZUNGEN NACH DSGVO ANFORDERUNG

Nach der leider notwendigen Auseinandersetzung mit Änderungen zur Datenschutzverordnung, die am 25. Mai in Kraft tritt, habe ich mir eine ToDo-Liste meiner problematischen Blog-Features erstellt:

1. Austausch mit Social Media Plattformen & Social Sharing Buttons
2. Google-Fonts, Gravataren & Emojis
3. Analyse- & Statistik-Tools
4. Kommentare und Blog abonnieren
5. Kontaktformular
6. Newsletter-Versand
7. Cookie-Hinweis
8. Benutzerdefinierte Werbeanzeigen
9. Sicherheits- und Anti-Spam-Plug-ins
10. Anpassung der Datenschutzerklärung

HOSTING & VERTRAG ZUR AUFTRAGSDATENVERARBEITUNG

Neben der Umstellung auf die verschlüsselte Datenübermittlung mittels “https” muss man auch einen Vertrag mit seinem Hoster abschließen. Mein Anbieter “STRATO” macht es mir hier einfach und hat diesen elektronisch im Kundenkonto hinterlegt. Mit wenigen Mausklicks ist dies erledigt..

HERAUSFORDERUNG SOCIAL MEDIA & DSGVO

Ein Blog ohne zugehörige Social Media Kanäle ist kaum mehr denkbar. Zumindest wenn man eine größere Anzahl Leser erreichen möchte, gehört die Präsenz in den sozialen Medien einfach dazu. Auf Kanälen wie Instagram, Pinterest und Facebook teilt man seine Bloginhalte. Umgekehrt verweist man vom Blog auf diese Plattformen. Der Leser soll die Möglichkeit erhalten, Beiträge zu teilen und sich über neuen Content informieren und bietet die Option Inhalte zu streuen.

INSTAGRAM- & PINTEREST-FEED

Leider hosten die meisten der angebotenen Features und Plug-ins ihre Daten im Ausland, meist den USA. Kritische Elemente – wie meinen Instagram- & Pinterest-Feed – habe ich nun zunächst also abgeschafft. Ich hoffe, dass im Lauf der Zeit mehr DSGVO verträgliche Lösungen auf dem Markt erscheinen werden. Doch bis es soweit ist, mussten diese Plug-ins bei mir erst einmal gehen. Einen kleinen Vorteil hat das ganze auch. Ohne diese bildschweren Features verkürzt sich die Ladezeit des Blogs erheblich.

SOCIAL SHARING MIT BUTTONS

Die Reichweite steigert man auch, in dem man Lesern die Möglichkeit gibt, für sie spannende Inhalte in sozialen Netzwerken zu verbreiten. Doch viele der Share-Buttons sammeln bereits ehe man sie anklickt Informationen von den Website-Besuchern. Dies ist so nun nicht mehr zulässig. Eine Alternative zu gängigen Social Share Tools wie die von Jetpack bietet das Plug-in SHARIFF. Hier geschieht eine Datenerfassung erst durch den Klick auf den Button. Darauf muss man dann in der Datenschutzerklärung hinweisen. Mehr dazu erfahrt ihr auch auf HEISE ONLINE.

Über SHARIFF kann ich zahlreiche Social Media Plattformen um Teilen anbinden. So auch Pinterest. Den “Pin IT Button” anzuschaffen, ist mir von allen Änderungen emotional am schwersten gefallen. Immerhin kann ich beim Plug-in Shariff eine Bild-URL angeben, die auf eine Grafik verweist, die ich zum Teilen auf Pinterest einsetzen möchte. Leider ermöglicht dies aber nicht jedes Bild des Beitrags nach Wahl mit einem Mausklick auf Pinterest zu posten. Zudem muss ich nun auch alle Beiträge der Vergangenheit entsprechend bearbeiten und anpassen. Für jeden einzelnen Blogpost muss ich nun eine Sharebild angeben. Dies wird eine weitere Mammutaufgabe, die ich nach und nach in den nächsten Wochen erledigen werde.

GOOGLE FONTS, GRAVATARE & EMOJIS

Google Fonts sind eine eigentlich so wunderhübsche Lösung .Sie schaffen ganz einfach individuell ansprechendes Blog-Design mittels schöner Typografie. Als Web-Dinosaurier kenne ich noch die Zeiten, in denen man Überschriften als Grafiken hinterlegte. Die war notwendig, wollte man einmal eine andere als  eine der wenigen Systemschriften verwenden. Schrift als Grafik ist in Zeiten von SEO und dynamischen Sites natürlich Unsinn. Google Fonts machen es einem möglich, aus einer riesigen Anzahl von Schriften über externe Server diese beim Aufrufen des Blogs on demand zu laden. Leider sammelt Google dabei User-Daten und somit ist die Verwendung nicht DSGVO konform. Abhilfe schafft die Möglichkeit die Schriften auf dem eigenen Server zu hosten. Derzeit fehlt mir die Zeit für die Auseinandersetzung damit. Man darf auch nur explizit dafür vorgesehene Schriften aus dem angebotenen Google Fonts Paket verwenden. Nicht jede Schrift steht frei und kostenlos zur Verfügung. Daher habe mich vorerst von den Google Fonts getrennt.

Wer denkt sich schon etwas bei harmlosen hübschen Profilbildchen und lustigen Smilies? Tatsächlich aber werden zu Darstellung Kontakte zu externen Servern aufgenommen und an diese Benutzerdaten weitergegeben. Daher habe ich Gravatare abgeschaltet  (Einstellungen > Diskussion > Avatare anzeigen deaktivieren) und mit dem Plug-in “Disable Emojis” die im WordPress eingebettete Smilie-Funktion deaktiviert.

Auch ein Kontaktformular speichert Daten und ist daher kritisch. Es bedarf in jedem Fall der Zustimmung zur Datenverarbeitung durch den Leser. Daher habe ich mein Formular abgeschafft und lasse nur noch die Kontaktaufnahme per E-Mail zu. Ich möchte meinen Lesern nicht an jeder Ecke Einwilligungen abverlangen.

ANALYSE & STATISTIK-TOOLS FÜR BLOGS

Google Analytics galt als der Standard der Blog-Statistik. Zusätzlich habe ich die Zugriffe auf meinen Blog über Website-Statistiken von Jetpack verfolgt. Wer weiter Google Analytics verwenden will, muss sich den Auftragsdatenverarbeitungs-Vertrag von Google ausdrucken und diesen unterschrieben per Post zurücksenden. Zwar gibt es auch eine elektronische Zustimmungsoption, doch ist nicht klar, ob diese rechtlich ausreicht. Den Stapel Papier habe ich noch brav ausgedruckt, ihn angesehen und mich dann Google Analytics gelöscht. Mir war das alles viel zu umständlich und zweifelhaft. Denn neben dem Vertrag muss man den Einsatz von Google Analytics auch ausreichend in seiner Datenschutzerklärung dokumentieren.

JETPACK: JA ODER NEIN?

Schwerer ist mir die Trennung vom Statistik-Tool von Jetpack gefallen. In Google Analytics  habe ich sowieso kaum hineingeschaut. Doch das Website-Statistics Tool hingegen ist wirklich praktikabel und übersichtlich – doch leider nicht DSGVO verträglich. Doch habe ich Jetpack letztendlich wegen anderer, nicht kritischer Funktionen behalten. Die nicht DSGVO konformen Funktionen von Jetpack ausschalten, ist jedoch gar nicht so einfach. Hier findet ihr die recht versteckte Option, einzelne Features zu deaktivieren – oder auch zu aktivieren:

>> Jetpack >> Einstellungen >> ganz nach unten scrollen >> Link: Fehlersuche >> Link: Rufe die vollständige Liste der Jetpack-Module auf, die auf deiner Website verfügbar sind.

Empfohlen wird als Ersatz vielfach STATISFY, ein einfaches Statistik-Tool. Doch dies bietet eigentlich nicht wirklich viel und hat mich nicht zufrieden gestellt. Einigermaßen glücklich bin ich jetzt mit WP Statistics. Hier kann man in den Einstellungen die IP Adressen anonymisieren (notwendig für DSGVO) und eine auch eine Opt-out- Funktion aktivieren. Diese habe ich jedoch nicht als Popup integriert, sondern verlinke in meiner Datenschutzerklärung darauf.

Zunächst hat mir das Plug-in allerdings Kopfzerbrechen verursacht. Ständig hängte es sich auf, verlangsamte die gesamte Site und führte zu Ausfällen. Als Fehlermeldung wurde “die browscap.ini existiert nicht” angezeigt. In den Einstellungen hab eich dann unter “Externe Quellen >> browscap.ini verwenden” deaktiviert und nun läuft es problemlos rund.

ABONNEMENTS VON KOMMENTAREN & NEUEN BEITRÄGEN

Was bedeutet die DSGVO für Blog-Follower? Auch hier zeigt sich wieder, wie unpraktikabel die DSGVO-Vorschriften für Blogs sind. Wie soll jemand meinem Blog folgen, wenn ich vom Leser keinerlei Daten speichern darf?

Für Kommentar-Abonnements verwende ich jetzt das Plug-in “Subscribe to Comments Reloaded” das eine Double-Opt-in Option bietet. Der Leser muss also sein Abonnement noch einmal explizit bestätigen und wird im Text der Anmeldungsmail auf die Speicherung bestimmter Daten hingewiesen. Außerdem habe ich “Remove IP” installiert, dass die IP-Adressen von Kommentaren in der Datenbank löscht.

NEWSLETTER VERSAND MIT MAILCHIMP

Für den Newsletter Versand mit Mailchimp muss man so einiges DSGVO konform einrichten. Mialchimp hat hierzu eine Aneitung verschickt, die ihre Nutzer step by step durch alle notwendigen Schritte führt. Vom Vertrag mit Mailchimp zur Auftragsdatenverarbeitung bis hin zur Anpassung der Einstellungen ist dort alles aufgeführt. Etwas Arbeit und Zeit muss man investieren, um rechtlich konform weiterhin Newsletter versenden zu dürfen. Doch Mailchimp hat hierzu recht gute Vorlagen, die man individuell anpassen kann. Am Ende muss man dann noch an alle Abonnenten eine Aufklärungsmail mit Einwilligungsoption versenden. Dann kann man nur hoffen, dass die meisten dies auch beantworten. Auch beim Rechtsanwalt Dr. Thomas Schenke bekommt man tolle Tipps zur Anpassung für Mailchimp, inkl. Textvorlage für die Datenschutzerklärung!

COOKIE HINWEISE

Ach ja Cookies, diese kleinen Küchlein, sind eine weitere Sache, die eine DSGVO-Anpassung erfordern. Eine funktionierende Website ohne Cookies ist kaum mehr denkbar. Ich verwende zur Aufklärung über Cookies mittels PopUp das Plug-in “Cookie Notice”.

Cookies auf Wunsch zu deaktivieren, ist die Aufgabe des Users über seine Browsereinstellungen. Jedoch muss man dann als Website-Besucher auch eingeschränkte Funktionen in Kauf nehmen. Als Blog-Betreiber kann ich nur auf das Setzen von Cookies hinweisen. Zudem habe ich meinen Cookie-Hinweis jetzt um einen Passus in der Datenschutzerklärung erweitert und verlinke im Cookie-Notice-Popup auf diese.

BENUTZERDEFINIERTE WERBEANZEIGEN

Über Google Adsense und auch über einige Affiliate-Partner kann man dynamische Werbeanzeigen generieren. Diese lesen User-Daten aus und können so passende zielgruppenspezifische Werbebanner einblenden. Ich habe mich sowohl Google Adsense – wie auch jede andere Art dynamischer Werbung – von meinem Blog schon länger heruntergenommen. Meine angezeigten Werbebanner sind durchweg statisch und lesen somit keine Benutzterdaten aus.

SICHERHEIT DSGVO KONFORM?

Ich muss zugeben, ich bin genervt. Mit anonymisierten IPs und ohne Zugriff auf die internationale Spamdatenbank ist es offensichtlich schwer Spam zu vertreiben. ASKIMET musste ich leider löschen, da es nicht DSGVO konform ist. ANTISPAM BEE hingegen kann man DSGVO konform verwenden, wenn man die öffentliche Spam-Datenbank nicht aktiviert. Doch das vielfach angepriesene Tool lässt leider auch mehr Spam durch, wenn man es DSGVO konform einstellt. Zusätzlich habe ich noch die Datenschutz freundliche EP Firewall “Block Bad Queries” und das Plug-in “All In One WP Security” installiert, fühle mich aber dennoch nicht so geschützt wie durch Askimet. Ich suche noch nach einer Lösung, die Spam-Kommentare und Fake-User wirklich fern hält.

GOOGLE RECAPTCHA

Auch Google ReCaptcha habe ich wieder abgeschafft, denn es sammelt benutzerdefinierte Daten auf Servern in den USA. Stattdessen habe nun das Captcha über WP Security unter dem Punkt “SPAM Prevention” aktiviert.

ANGEPASSTE DATENSCHUTZERKLÄRUNG

Alle Dinge, die auf deinem Blog in irgendeiner Form in Zusammenhang mit der Abfrage und Speicherung von Daten, ob aktiv oder passiv, stehen, müssen in der Datenschutzerklärung dokumentiert sein. Wie  und den Text bereits oben erwähnt, gibt es hierfür sehr gute Generatoren. Dennoch sollte man auch hier noch individuelle Anpassungen vornehmen. Meine Devise ist: Lieber einmal zu viel als zu wenig auf “kritische” Funktionen hinweisen. Mir selbst erscheint dies ja alles überzogen und verunsichert an Stellen, wo es nicht nötig wäre, aber dies ist meine Einstellung. Wer eine nun normale Datenschutzerklärung liest, muss ja Angst bekommen, dass da ganz schlimme Dinge passieren, wenn er eine Website aufsucht. Tatsache ist, es passiert in der Regel nichts gefährliches – und nun erst recht nicht.

ANGEPASSTE FUNKTIONEN | READY FOR DSGVO?

Tatsächlich bin ich aber immer noch unsicher, ob meine Maßnahmen nun tatsächlich alles geforderte berücksichtigen. Man hat das Gefühl als Blogger immer mehr Dinge leisten zu müssen, die mit dem eigentlichen Content nichts zu tun haben. Der Blogger als Texter, Fotograf, Grafiker, Reporter, Social Media Manager, IT-Spezialist und nun auch noch Jurist?

Noch nicht endgültig geklärt ist auch, ob man nun als einzelner Blogger ein Verfahrensverzeichnis führen muss, in dem alle Maßnahmen und Daten dokumentiert werden. Ist dies wirklich Pflicht und wie soll es aussehen? Auch hier habe ich noch keine schlüssige Antwort gefunden.

Was habt ihr in Sachen DSGVO umgesetzt oder was steht noch aus? Viel Zeit bleibt nun nicht mehr, um die geforderten Richtlinien einzuhalten. Fällt euch noch etwas ein oder auf, dass ich selbst noch ändern muss?

Wie bereits gesagt, handelt es hier um eine Schilderung meiner persönlichen DSGVO-Anpassung und stellt keine rechtlich verbindlichen Tipps dar. Vielleicht hilft es aber dem einen oder anderen, selbst noch einmal zu schauen, was im Sinne des Datenschutzes und der neuen Verordnung zu tun ist und wie man manches lösen kann.

Ich freue mich auf eure Anregungen, Kommenatare und Ideen!

Euer stylepeacock

Chris

PS: Mehr Tipps zum Thema Bloggen und das Leben als Selbständiger & Blogger findet ihr in meiner Kategorie >> ABOUT BLOGGING!

@Newsletter-Abonnenten: Bitte bestätigt die E-Mail, die ich euch am 19. oder 20. Mai zugesendet habe, da ihr sonst den Newsletter nicht mehr empfangen dürft! Auch für das aktuelle Gewinnspiel kann ich nur die berücksichtigen, die weiterhin dabei sind und hier angegeben haben, dass sie mir per Newsletter folgen.