Wie setzte ich die DSGVO für mein Blog um?

DSGVO Checkliste für Blogger: Wie setze ich die Datenschutz-Grundverordnung für mein Weblog um?

2016 hat die EU die neue Datenschutzgrundverordnung beschlossen, am 25. Mai 2018 tritt sie in Kraft. Die Panik im Vorfeld ist beträchtlich, was durchaus mit den vorgesehenen Strafen zu tun hat: Bis zu 20 Millionen Euro bzw. 4% des Konzernumsatzes zahlt außer den Big Playern wohl niemand mal schnell so nebenbei aus der Portokassa. Was in größeren Unternehmen ein klassisches Thema für die Rechtsabteilung darstellt, ist für kleinere Unternehmer sowie Blogger durchaus eine beträchtliche Herausforderung.

Welche Schritte müssen Blogger im Detail setzen, damit ihre Seite ab 25. Mai den Anforderungen der DSVGO entspricht? Gleich vorweg: Mit einem Update der Privacy Policy ist es nicht getan. Formulare, Recht auf Auskunft/Löschung und Integrationen mit 3rd Party Services müssen auf jeden Fall überarbeitet bzw. angepasst werden.

DISCLAIMER

Dieser Artikel stellt keine Rechtsberatung dar. Ich habe mich mit den Bestimmungen der DSGVO zwar intensiv beschäftigt, um die entsprechenden Regelungen für meine Blogs umsetzen zu können, bin aber weder Jurist noch Datenschutzexperte. Obwohl ich mit aller angemessenen Sorgfalt auf die Richtigkeit der veröffentlichten Informationen achte, kann hinsichtlich der inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen sowie für allfällige Rechtsfolgen, die sich aus der Umsetzung dieser Informationen ergeben, keinerlei Gewähr übernommen werden.

Was ist die DSVGO?

Die Datenschutz-Grundverordnung gilt EU-weit und ist in jedem Mitgliedsstaat unmittelbar anwendbar. Sie enthält jedoch etliche Spielräume, die national ausgestaltet werden können, was in Österreich durch das Datenschutz Anpassungsgesetz 2018 (eine Novelle zum DSG 2000), geschehen ist.

Der vollständige Titel des Regelwerks lautet Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). Ziel ist die Stärkung der Privatsphäre und mehr Kontrolle über persönliche Daten. Betroffen ist jedes Unternehmen, das in *irgendeiner* Form Datenverarbeitung betreibt – und sei es bloß ein Kontaktformular auf der Homepage.

Ab 25. Mai entfallen zwar die Meldepflicht bei der Datenschutzbehörde und der zugehörige Eintrag im Datenverarbeitungsregister, dafür tragen Auftraggeber und Dienstleister weit höhere Verantwortung.

Es sind geeignete technische und organisatorische Maßnahmen und Verfahren (z.B. Pseudonymisierung) zu treffen, damit die Verarbeitung den Anforderungen der Verordnung genügt und die Rechte der betroffenen Personen geschützt werden. Datenschutzrechtliche Voreinstellungen sollen sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

Privacy by Design / Privacy by Default sind gefordert, gespeichert werden darf nur, was für die jeweilige Datenverarbeitungstätigkeit notwendig ist. Zusätzlich ist die Führung eines sogenannten „Verarbeitungsverzeichnisses“ gefordert, auch für Unternehmen unter 250 Mitarbeitern. Außer, wenn:

  • die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt,
  • die Verarbeitung nur gelegentlich erfolgt und
  • die Verarbeitung keine sensiblen Daten bzw. keine Daten über strafrechtliche Verurteilungen beinhaltet.

Dies dürfte die meisten Blogger also nicht betreffen – ich kann mir nicht vorstellen, dass die Anmeldung zu einem Newsletter oder das Verfassen eines Kommentars Rechte und Freiheiten bedroht bzw. E-Mail und Name sensible Daten darstellen.


[Update 6.2.2018]  Wie Rechtsanwalt und DSGVO-Experte Mag. Peter Harlander (lawoffice.at als Kommentar zu meinem Facebook-Update geschrieben hat, gilt für Blogger offenbar sehr wohl die Verpflichtung eines solchen Verarbeitungsverzeichnisses:

Blogger müssen definitiv ein Verfahrensverzeichnis führen. „Nur gelegentliche Verarbeitung“ liegt dank Webanalyse / Kommentarfunktion / Newsletter etc nicht vor. Damit kein genereller Entfall der Pflicht zur Führung eines Verarbeitungsverzeichnisses. (Artikel 30 Abs. 5 ist in der Verordnung unrichtig übersetzt und daher missverständlich.)

Wie kann so ein Verzeichnis denn ausschauen? Die WKO hat eine hilfreiche Vorlage.

[Update 26.3.2018]  Hilfreich ist allerdings relativ – die formale Gestaltung des Verarbeitungsverzeichnisses ist die eine Seite der Medaille, die grundsätzliche konzeptionelle Herangehensweise steht auf einem anderen Blatt. Wer soll erfasst werden, von welchen Daten ist hier überhaupt die Rede? Einen ausgesprochen hilfreichen Beitrag zu diesem „den-Wald-vor-lauter-Bäumen-nicht-sehen-Thema“ hat Harald Dvorak verfasst: DSGVO – Verarbeitungsverzeichnis How-To.

[Update 2.5.2018 – tu felix Austria?]  Unter dem Titel Keine Strafen: Österreich zieht neuem Datenschutz die Zähne berichtet Daniel Sokolov auf Heise.de von einem Gesetzesentwurf der österreichischen Regierung, der am 20. April „überraschend und kurzfristig“ vom Parlament beschlossen wurde. Besagter Entwurf enthält eine ganze Reihe von Ausnahmen, etwa für Wissenschaftler, Künstler und Journalisten. Im Fall der letztgenannten Gruppe hat die Datenschutzbehörde außerdem das Redaktionsgeheimnis zu berücksichtigen. Die Regelung lässt dabei sehr viel Ermessens-Spielraum:

Ausgewählte Teile der DSGVO finden dabei keine Anwendung, „soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen“.

Dass gegen Behörden und öffentliche Einrichtungen keine Strafen verhängt werden können, mag durchaus sinnvoll erscheinen – wozu soll sich Behörden auch gegenseitig verklagen, um anschließend Strafen mit Steuergeld zu begleichen? Interessanter ist da schon der neu formulierte Paragraph 11, der auf Verhältnismäßigkeit abzielt:

„Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.“

Sokolovs Darstellung erscheint mir durchaus tendenziös, zumal ja die EU selbst im Originaltext die Wahrung der Verhältnismäßigkeit fordert. Als erzieherische Maßnahme dürfte speziell für KMUs im ersten Schritt eine Verwarnung durchaus ausreichen. Ob die unterstellte „Verwässerung“ so weitreichend ist, dass sie unter Umständen ein EU Vertragsverletzungs-Verfahren rechtfertigt, muss die Zukunft zeigen.


Auch die vorgeschriebene Datenschutz-Folgenabschätzung und die verpflichtende Einsetzung eines Datenschutzbeauftragten trifft nur Unternehmen, deren Kerntätigkeit in der Durchführung von Datenverarbeitung besteht oder die mehr als 10 Mitarbeiter haben.

Je nach Geschäftsmodell müssen Online-Shops, Community-Betreiber und App-Anbieter an unterschiedlichen Stellschrauben drehen. Rein private Blogs dürften wenig zu befürchten haben, sobald jedoch auch nur ein einziger Banner, Affiliate oder Testbericht auftaucht, spricht der Gesetzgeber von Gewinnabsicht bzw. einer gewinnorientierten Seite – unabhängig, ob diese von einem Unternehmen oder einer Privatperson betrieben wird, greifen in diesem Fall die neuen Bestimmungen.

[Update 15.3.2018] Der kriminelle Blogger: Generelle Überlegungen zu WordPress, Themes, Plugins & der DSGVO/GDPR

Dass Juristen IP-Adressen zu den persönlichen Daten zählen, stellt WordPress und anderen CMS-Systeme respektive deren Anwender vor ganz neue Herausforderungen: Die Architektur des Internet baut nun mal auf IP-Adressen auf – wann immer Daten von externen Servern angefordert werden, überträgt das gute alte http-Protokoll die IP des Clients. Das betrifft eben nicht nur diverse böse Tracking-Pixel, sondern Gravatar-Bilder, Emojis und Google Maps.

Wir haben uns an den Komfort von API-Calls gewöhnt und die Verfügbarkeit von kostenlosen Add-Ons jahrelange genossen: Google ist großzügig, wenn es um die Einbindung von Kartenmaterial oder Videos geht – da nimmt man ein wenig Datenkrakelei schon ein Kauf. Das war zumindest bisher der Deal.

Selbstverständlich sind zahlreiche DSGVO-Änderungen stark vom verwendeten Theme abhängig: Google Fonts, Google Map Calls und etliche andere nach aktuellem Stand nicht DSGVO-konforme Aufrufe externer Services werden in der Regel über Plugins oder über das Theme realisiert. Dass alle Developper ihre WordPress Themes an die DSGVO anpassen, können selbst die größten Optimisten nicht erwarten – im Zweifelsfall wird jedenfalls der Webmaster (respektive Blogger) selbst Hand anlegen müssen.

DSGVO Checkliste für Blogger: Was setze ich die Datenschutz-Grundverordnung für mein Weblog um?Glücklich schätzen können sich in dieser Hinsicht die Nutzer des populären Enfold-Themes, denn die Entwickler haben im Support-Forum bereits angekündigt, bis zum Tag X alle DSGVO-Vorgaben zu implementieren. Dass der Entwickler des Teams selbst Österreicher und damit EU-Bürger ist, erweist sich in diesem Fall also als gravierender Vorteil für die europäischen Nutzer. Meine Nachfragen bei diversen US-Theme-Programmiereren und Premium-Plugin-Anbietern zeichneten in dieser Hinsicht ein eher düsteres Bild: Den meisten WordPress-Entwicklern außerhalb Europas ist die DSGVO bzw. GDPR bislang herzlich egal.

Ein weitaus größeres Ärgernis stellen allerdings diverse WordPress-Features dar, die ab 25. Mai nicht mehr in dieser Form nutzbar sein werden: Gravatar-Bilder für Kommentare, Emojis (auch die werden von Auttomatic-Servern geladen!) und der Antispam-Service Akismet verstoßen ebenso wie die integrierte Embed-Funktionalität klar gegen die kommende europäischen Datenschutz-Gesetzgebung.

[Update 26.3.2018]  Die WordPress Core Programmierer sind aber natürlich nicht untätig und arbeiten bereits an neuen Funktionen und Hooks, die alle notwendigen „Data Clearances“ an zentraler Stelle managen und Plugins an den zukünftig im Core beheimateten GDPR-Layer „andocken“ lassen. Mehr Infos dazu in diesem Update.

[Update 24.5.2018]  Die angekündigten DSGVO-Features sind mit der aktuellen WordPress-Version 4.9.6 verfügbar. WordPress löst damit zwar bei weitem nicht alle Punkte, stellt aber zumindest ein Interface zur Auskunft und Löschung bereit, macht das Kommentar-Cookie optional und gibt Hilfestellungen bei der Einrichtungen der Datenschutz-Erklärung. Die entsprechenden Funktionen beschreibe ich detailliert in diesem Podcast.

Obwohl technische Lösungen zwar großteils in Form bequem zu aktivierender Plugins (oder zukünftig sogar als integraler Teil von WP) verfügbar sind, erfordert der Betrieb einer WordPress-Seite nach derzeitigem Kenntnisstand ab 25. Mai eine ganze Menge an juristisch-technischem Fachwissen. Ich hoffe im Sinne der gesamten Blogosphäre, dass möglichst zeitnahe eine One-Click-Lösung verfügbar sein wird, denn die Einstiegshürde fürs Publizieren im Internet zu erhöhen, kann keineswegs Sinn der DSGVO sein: An Monopolen und Big Playern mangelt es uns im Internet wahrlich nicht.

Online Marketing Strategien, DSGVO-Updates und Extras: Abonnieren Sie jetzt das datenschmutz Bulletin!
Vorname
Pflichtfeld!
Pflichtfeld!
Nachname
Pflichtfeld!
Pflichtfeld!
E-Mail
Pflichtfeld!
Pflichtfeld!
Pflichtfeld!
Pflichtfeld!

DSVGO Checkliste: Was muss ich tun, damit mein Blog alle Bestimmungen erfüllt?

Jeder Betreiber eines Weblogs wird sich mindestens Gedanken über die folgenden drei Bereiche machen müssen:

  1. Anpassung der Datenschutzerklärung
  2. Umgang mit Drittanbieter-Services
  3. Datenerfassung- und Speicherung

Die folgende Checkliste umfasst Punkte, die in jedem Fall abgearbeitet werden müssen, erhebt jedoch keinen Anspruch auf Vollständigkeit.

Kann ich meine Seite mit einem Plugin DSGVO-kompatibel machen?

[Update 12.3.2018] Nein, nicht auf Knopfdruck bzw. nicht umfassend. Die DSVGO heißt auf Englisch GDPR (General Data Protection Regulation), und man findet im offiziellen Repository sehr wohl zwei entsprechende Plugins. WP GDPR Compliance unterstützt WooCommerce, die WordPress Kommentarfunktion und Contact Form 7 und gibt Compliance-Tipps. Das Plugin ist aber KEINE All-in-One Lösung, sondern setzt nur zwei der unten gelisteten Punkte um – und die Kommentar-Compliance bringt WordPress hoffentlich bis spätestens 24.5. im Core mit.

Spannender ist da schon WP GDPR, das neben der Checkbox auch ein technisches Interface für das „Recht auf Vergessen“ implementiert – also Nutzern die Möglichkeit bietet, früher verfasste Kommentare löschen oder anonymisieren zu lassen. Das Plugin gefällt mir ausgesprochen gut, deshalb habe ich die deutschen Übersetzung dafür geschrieben – ein ausführliche Vorstellung folgt in den nächsten Tag.

Und dann gibt es da noch All-in-One GDPR auf Codecanyon – ein Plugin ohne Demo und nähere Beschreibung um „günstige“ $68 (bisher 13 Verkäufe). Die Screenshots legen nahe, dass es in erster Linie um Privacy-Präferenzen für registrierte Nutzer geht, den Kommentare nach zu urteilen dürfte das Plugin außerdem Probleme mit zahlreichen WordPress Installationen verursachen.

Also kurz gesagt: Eine 1-Klick-Implementierung ist nicht in Sicht. Es gibt diverse Plugins, die einzelnen Aspekte regeln. Meine Favoriten habe ich in der nachfolgenden Checkliste verlinkt.

  • Checkliste: DSGVO Compliance für Blogs

    DSGVO Checkliste für Blogger: Was setze ich die Datenschutz-Grundverordnung für mein Weblog um?
  • Datenverbeitungs-Vertrag mit dem Provider

    [Update 16.3.2018]  Im Sinne der neuen Gesetzgebung ist der Anbieter des Webspace beim Shared Hosting ganz klar ein Datenverarbeiter – schließlich speichert er schon allein aus technischen Gründen persönliche Daten (z.B. Namen und E-Mails von Kommentaren durch automatisierte Backups) und IP Adressen (Server Logs). Schon allein aus sicherheitstechnischen Überlegungen heraus kommt eine Deaktivierung aller Backups und Logs nicht in Frage. Also wird ein zusätzlicher Vertragsabschluss fällig. Wie das Recht auf Löschung sich mit der Notwendigkeit von Backups verträgt, ist derzeit allerdings nicht nur mir ein Rätsel.

    Das Gesagt gilt primär für Shared Hosting. Betreibt man einen Root- oder Colocated Server, bei dem der Hoster gar keinen Zugriff hat, entfällt die Notwendigkeit des Vertragsabschlusses, dafür ist hier der Webmaster selbst für eine gesetzeskonforme Konfiguration seines Servers verantwortlich.

  • Sichtbarkeit des Datenschutzhinweises

    Sollte klar ersichtlich und leicht erreichbar sein. Ein Link im Footer sollte reichen, einen Link Above-the-Fold zu integrieren, kann sicher nicht schaden. Besonders vorsichtige Naturen bringen einen Link zur Datenschutzerklärung direkt im sowieso vorgeschriebenen Cookie-Hinweis unter.

    [Update 16.3.2018] Dieser Cookie-Hinweis ist aber voraussichtlich bloß eine Übergangslösung, bis 2019 die ePrivacy Richtlinie in Kraft tritt. Juristen gehen davon, dass ab diesem Zeitpunkt eine explizite Einverständniserklärung mit vorgeschaltener (!) Opt-Out Möglichkeit erforderlich wird. Das einzige mir bekannten Plugin, das auf diese funktioniert, ist das kostenpflichtige Borlabs Cookie (€19 pro Webseite). Eine schöne, saubere Lösung einerseits – aber ob dann die Verwendung von Google Analytics überhaupt noch sind macht, werden wir wohl erst 2019 wissen.

  • Inhalt der Datenschutzerklärung

    Standard-Texte tun’s nicht mehr: Die Datenschutzerklärung muss eine individuelle Ausgestaltung vorweisen. Auf den Einsatz externer Dienste ist verpflichtend hinzuweisen, sofern durch den Aufruf der Seite personenbezogene Daten erhoben werden. Ein anpassbares Muster (individualisierte DS-Erklärung erforderlich!) hat die WKO.

    Tipp - Update 16.3.2018
    Einen nützlichen Tipp zur Vorbeugung vor automatisierten Abmahn-Wellen möchte ich Ihnen an dieser Stelle zusätzlich ans Herz legen: Stellen Sie Ihre Datenschutz-Erklärung auf „noindex“, sodass sie von Google nicht in der Suche angezeigt wird. Das verhindert zumindest, dass automatisierte Scripts, die nach möglicherweise unzulässigen Formulierungen suchen und automatisiert Abmahn-Listen generieren, Ihre Seite identifizieren. (Wär ja nicht das erste Mal.)
  • SSL Verschlüsselung

    Die DSGVO schreibt SSL Verschlüsselung zwar nicht explizit vor. Ohne wird sich aber eine sichere Datenübertragung (beispielsweise für Formular-Nachrichten oder Kommentare) nicht realisieren lassen. Neben der DSGVO sprechen noch viele andere sehr gute Gründe für den Umstieg auf https. Seit Let’s Encrypt kostenlose Zertifikate vergibt, gibt es überhaupt keine Ausrede mehr. Die Umstellung von WordPress erfolgt entweder händisch (mit Search and Replace in der Datenbank und Anpassung der htaccess) oder via Plugin. Diese Anleitung beschreibt die notwendigen Schritte. Scheitert das Installieren eines Zertifikats am Hoster, dann wäre es an der Zeit, diesen auch gleich zu wechseln.

  • Cookiehinweis

    Schon länger vorgeschrieben, daran ändert sich nichts. Etliche Plugins bieten ihre Dienste an, ich bin ausgesprochen zufrieden mit Cookie Consent von Catapult Themes.

  • Recht auf Löschung/Berichtigung

    Nutzer, deren personenbezogene Daten gespeichert werden, müssen jederzeit die Möglichkeit haben, die Löschung dieser Daten zu verlangen. Ein entsprechender Hinweis und ein rechtssicheres Impressum mit Kontaktmöglichkeit sollten diese Anforderung abdecken. Im Falle des Falles hat dann folgendes zu geschehen:

    Die betroffene Person ist von der durchgeführten Maßnahme zu informieren. Dies hat schriftlich zu erfolgen, und zwar in einer kompakten, transparenten, verständlichen und leicht zugänglichen Form. Elektronische Medien (vor allem E-Mail) können insbesondere dann verwendet werden, wenn der Antrag elektronisch gestellt wurde.

  • Formulare

    Die meisten Blogs verwenden zumindest ein Kontaktformular, eventuell kommen so wie hier auf datenschmutz auch weitere Formulare (für Gewinnspiele, Artikelfeedback etc.) zum Einsatz. Werden mittels Formularen Daten erhoben und gespeichert (zum Beispiel durch ein Formular-Plugin, das alle Einträge auch in der Datenbank speichert), so muss der Nutzer dazu explizit seine Einwilligung erteilen. Eine entsprechende Checkbox zur Einholung der Zustimmung des Nutzers (darf standardmäßig nicht angehakt sein) ist die sicherste Art der Umsetzung.

    [Update 2.5.2018]  In Sachen Formular-Checkbox bin ich durch einen Hinweis in den Kommentaren auf einen interessanten Podcast von Datenschutz-Anwalt Stephan Hansen-Oest gestoßen, der das Gegenteil empfiehlt. Er hält die von häufig empfohlene Checkbox sogar für ein Sicherheitsrisiko, da selbst „der dümmste anzunehmende User bei der Nutzung eines Formulars davon ausgeht, dass seine Daten erfasst und automatisiert gespeichert“ werden. Ein Formular impliziere dies, und mit der Integration besagter Checkbox lade man sich als Webmaster Widerufspflichten auf, die möglicherweise gar nicht so leicht zu erfüllen sind. Was tut der Laie, wenn Anwälte unterschiedliche Standpunkte vertreten? Er konsultiert den Rechtsberater seines Vertrauens oder wägt ab…

  • Newsletter

    Wer einen Newsletter anbietet und für den Versand einen Drittanbieter wie Mailchimp oder Aweber nutzt, muss eine ganze Reihe von Vorgaben beachten. Mailchimp hat sich dem Privacy Shield Abkommen unterworfen, der Abschluss eines Datenverarbeitungsvertrages sowie ein deutlicher Hinweis bei der Anmeldung sind zukünftig verpflichtend. Eine hervorragende Anleitung mit Mustertexten finden Sie bei Rechtsanwalt Dr. Schwenke. Gegebenenfalls wird es auch notwendig sein, mit externen Dienstleistern analog zu Google Analytics einen entsprechenden Datenverarbeitungsvertrag zu unterzeichnen. Mailchimp erledigt das digital, hier geht’s zur Vertragsvorlage.

    [Update 26.3.2018]  Roland Giersig hat auf digisociety.at einen Beitrag über DSGVO-konforme Newsletter verfasst, der einen Vorschlag für eine möglichen Zustimmungstext (unterzubringen beim Eingabeformular bzw. in der Bestätigungs-E-Mail).

  • Social Share Buttons am Blog

    Die DSGVO bedeutet durchwegs nicht das Ende aller Sharing-Buttons. Allerdings dürfen keinerlei Daten des Webseitenbesuchers ohne dessen Zustimmung erhoben bzw. übertragen werden . Das bedeutet, man muss eine technische Implementation wählen, bei erst dann Daten übertragen werden, wenn der Besucher die Share-Funktion auch tatsächlich nutzt.

    [Update 7.5.2018]  Eine populäre und kostenlose Implementation der c’t Entwicklung „Shariff“ nennt sich Shariff Wrapper und muss sich in Sachen Funktionsumfang und Flexibilität nicht vor kommerziellen Konkurrenten verstecken. Bei anderen Plugins muss man im Einzelfall vom Entwickler erfragen, ob DSGVO-Kompatibilität sichergestellt ist.

  • Webseiten-Chat

    [Update 26.2.2018] Inzwischen sehr populär: Webseiten Live-Chats, meist mit einem Chat-Icon in der unteren rechten Ecke eingebunden. Facebook und etliche Drittanbieter bieten mehr oder weniger komplexe Lösungen. Aber in den meisten Fällen laufen die eigentlichen Chats sowie allfällige Datenspeicherungen (E-Mail, Uploads etc.) über die Server von Drittanbietern, die oft nicht einmal mit dem Plugin-Anbieter identisch sind. Abhilfe schafft ein vollständig selbst gehostetes Chatsystem. Ich habe kürzlich vom 3rd Party Chat Drift zu Fluent Chat gewechselt, dem allerdings die Opt-In Checkbox fehlt. Der Support hat sich bisher noch gemeldet, also werde ich bis zum 25. Mai noch Awesome Live Chat evaluieren.

  • Google Analytics Vertrag

    Neben dem verpflichtenden Hinweis auf den Einsatz von Google Analytics sowie einer inkludierten Opt-Out Möglichkeit ist ZWINGEND ein Vertrag zur Auftragsdatenverarbeitung mit Google abzuschließen.

    [Update 13.3.2018] Ob dieser Vertrag auf Papier übermittelt werden muss oder digital abgehakt werden kann, hängt vom eigenen Wohnsitz ab. In Deutschland ist der Postweg zu wählen, die entsprechende PDF-Vorlage findet man hier. Der Vertrag ist zweimal auszudrucken und unterschrieben an Google Irland (Adresse im Dokument) zu schicken. In Österreich reicht die digitale Zustimmung. Die betreffende Funktion findet man in den Account-Einstellungen. Klicken Sie auf Ihrer Analytics-Startseite auf „Verwaltung / Admin“ und wählen Sie dann den ersten Punkt „Einstellngen / Account Settings“. Am Ende dieser Seite finden Sie den Abschnitt „Data Processing Amendment“. Der Vertragsanschluss folgt anschließend via Mausklick.

    DSGVO Checkliste für Blogger: Was setze ich die Datenschutz-Grundverordnung für mein Weblog um?

    Google speichert das Unterzeichnungsdatum. In weiterer Folge kann man unter „Review Amendment“ jederzeit nachlesen, was man da eigentlich unterschrieben hat.

  • Google Analytics Opt-Out Option

    Die Opt-Out Funktionalität lässt sich am einfachsten mit dem Plugin GA Opt-Out realisieren oder mit einem Hinweis auf entsprechende Browser-Extensions. Sinnvollerweise wird man den entsprechenden Code an passender Stelle innerhalb der Datenschutzbestimmungen einbauen.

  • Google Analytics IP-Anonymisierung

    Wie man die IPs anonymisiert, hängt von der Art der Tracking-Code Einbindung ab. Wer den Tracking-Code direkt einbindet, fügt die Funktion anonymizeIP zu. WordPress Plugins (ich empfehle GA Dashboard for WordPress) verfügen in der Regel über eine entsprechende Option. Dritte Möglichkeit ist die entsprechende Konfiguration des Tag Managers.

  • Google Fonts

    [Update 13.3.2018] Google hat mit seinen kostenlos verfügbaren Fonts die Typographie im Netz nachhaltig verändert. Statt Times New Roman und Arial stehen hunderte Schriften aus dem Fonts Repository zur Verfügung. Die werden aber nicht am eigenen Server/Webspace gespeichert, sondern aus der Cloud in den Cache des Nutzers geladen. Dabei wird unweigerlich die IP-Adresse und sogar der persönliche Browser-Verlauf an Googles Server übermittelt. Die Font-Diversität wird deshalb nicht aus dem Netz verschwinden, aber alle mir bekannten Themes binden Fonts eben nicht lokal ein, denn dazu müsste das Theme *alle* angebotenen Fonts komplett enthalten. Allerdings kann man die Fonts auch am eigenen Server unterbringen – eine Anleitung dazu haben die Netzialisten verfasst. Oder man erstellt gleich ein Custom Plugin mit den verwendeten Fonts.

  • Kommentarfunktion

    Da die Veröffentlichung eines Kommentars einen aktiven Akt darstellt mit dem Ziel, die betreffenden Informationen frei zugänglich ins Netz zu stellen, könnte wohl davon ausgegangen werden, dass keine zusätzliches Opt-In Checkbox erforderlich ist. Ein Hinweis zur Datenspeicherung (idealerweise mit Link auf die Datenschutz-Policy) muss aber auch an dieser Stelle angebracht werden – über die genaue Gestaltung herrscht derzeit noch Unklarheit, ein bloßer Hinweis auf die Datenschutzerklärung dürfte allerdings nicht ausreichen. Ich habe mich auch hier für eine verpflichtende Checkbox samt ausführlicher Erläuterung entschieden. Wer diese via WP GDPR einbaut, kann den Erläuterungstext bequem im Backend anpassen. Sieht bei mir aktuell so aus:

    DSGVO Checkbox im Kommentar-Formular

  • Speicherung von IP Adressen mit Kommentaren

    [Update 16.3.2018] Die DSGVO verlangt Datensparsamkeit und Löschfristen. Daraus ergibt sich die Frage: Dürfen/sollen Blogger die IP-Adresse von Kommentatoren speichern, haben sie ein berechtigtes Interesse daran? In der Standard-Konfiguration schreibt WordPress zu jedem Kommentar die IP in die Datenbank. Dafür gibt es durchaus gute und nachvollziehbare Gründe: Im Fall von Rechtsstreitigkeiten kann die IP-Adresse helfen, auf behördliche Anordnung hin die Identität festzusstellen – sofern keine Anonymisierungsdienste im Spiel sind.

    Wer der Meinung ist, dass diese Speicherung einen Verstoß gegen die DSGVO darstellt, kann WordPress recht einfach umerziehen: mit einem vierzeiligen Code in der functions.php verhindert man die zukünftige Erfassung der IP. Bereits gespeicherte IPs lassen sich mittels einer Abfrage im phpMyAdmin auf einen Schlag aus der Datenbank entfernen. Eine ausgezeichnete Anleitung für beide Schritte hat dankenswerterweise das Kritzelblog ins Netz gestellt.

    Tipp - Update 16.3.2018
    Tipp zum Thema functions.php: Theme-Updates überschreiben diese Datei, daher empfehlt sich für die Verwaltung diverser Custom Functions das äußerst nützliche Code Snippets Plugin.

    Heike hat gefragt, wie man den SQL-Befehlt auf einen bestimmen Zeitraum einstellt – das funktioniert mit der Einschränkung „WHERE“) und einer Daterange-Selektion mit „BETWEEN“. Sieht so aus: (Keine Gewähr!)

    UPDATE xx_comments SET comment_author_IP = ' '
    WHERE (date_field BETWEEN '2017-01-01 00:00:00' AND '2017-12-31 00:00:00');
    

    Das xx in xx_comments muss mit dem eigenen Table-Präfix ergänzt (Standard: wp_) und der Datumsbereich natürlich angepasst werden.

    [Update 26.3.2018]  Die IP-Speicherung hat unter Umständen auch eine strafrechtliche Dimension und sollte im Kontext der Moderations-Strategie betrachtet werden. Mehr dazu in diesem Update.

  • Gravatar-Bilder

    [Update 16.3.2018] Auttomatic betreibt den Gravatar-Service, der es Nutzern ermöglicht, ihre E-Mail Adresse mit einem Avatar-Bild zu koppeln. Webseiten, die Kommentarfunktionen anbieten, können die E-Mail Adresse an die Gravatar-API senden und bekommen das vom Nutzer zugeordnete Bild zurückgeliefert. Das Problem dabei: Wenn immer jemand einen WordPress-Kommentar verfasst, fragt das inkludierte Gravatar-JavaScript bei Auttomatic nach, ob zur eingegebenen E-Mail ein Gravatar existiert. Dabei wird die E-Mail nicht im Klartext übertragen, sondern gehasht – also verschlüsselt und für den Empfänger nicht reproduzierbar.

    Wer in diesem Punkt der DSGVO entsprechen möchte, kann die Gravatar-Funktion unter dem Menüpunkt „Einstellungen“ -> „Diskussion“ ganz abdrehen. Am Ende der Page finden Sie unter der Überschrift „Avatare“ als erstes die standardmäßig aktivierte Checkbox „Avatare anzeigen“.

    Gravatar-Bilder deaktivieren.

    Deaktivieren Sie die Checkbox, um die Gravatar-Abfrage zu unterbinden.

    Wer registrierten Nutzern die Möglichkeit bieten möchte, Avatar-Bilder anzuzeigen, kann mit dem Plugin Disable User Gravatar die Remote-Abfrage deaktivieren und trotzdem lokal gehostete BuddyPress oder Avatar Manager Bildchen anzeigen.

    Ich bin der Meinung, dass Gravatare einen echten Mehrwert bieten – sie machen Kommentatoren leichter wiedererkennbar, Threads optisch ansprechender und stellen eine einfache, Nutzer-kontrollierte Form der visuellen Selbst-Repräsentation dar. Kurz gesagt: Ich möchte auf die Kommentar-Bildchen nicht verzichten.

    [Update 9.5.2018]  Ob ein Hinweis in der Datenschutzerklärung ausreicht und man Gravatare mit „berechtigem Interessen“ argumentieren könnte, ist fragwürdig – aber auch gar nicht mehr notwendig. Denn der Mundschenk hat Abhilfe geschaffen: Avatar-Privacy rüstet lokales Avatar-Caching, ein explizites Opt-In für die Anzeige der Bilder samt Deaktivierung der Datenübertragung für Nicht-Gravatar.com-Nutzer und lokales Hosting des Standard-Gravatars nach. Die Beta-Version ist derzeit auf Github und in Kürze auch im WordPress Repository verfügbar. Danke Mundschenk!

  • Emojis

    [Update 16.3.2018] Daran würde man wohl zuletzt denken – aber in der Tat werden die seit WordPress 4.4 inkludierten Emojis nicht lokal geladen, sondern von Auttomatic-CDN-Servern angefordert und übertragen an diese ergo die IP-Adresse Ihrer Blogbesucher. Diese Remote Emojis kann man auf zwei Arten los werden: Entweder bequem via Plugin (Disable Emojis von Ryan Hellyer) oder über einen Eingriff in die functions.php wie auf Woorkup.com beschrieben. Weitere Möglichkeit: Manche Caching/Performance Plugins deaktivieren optional die Emojis.

  • Antispam Plugin

    [Update 13.3.2018] Akismet, der „offizielle“ Spamfilter von WordPress, ist ein Cloud Service. Kommentare werden zur Überprüfung an externe geschickt, die anschließend das Ergebnis zurückliefern. Akismet verschickt sowohl Name, E-Mail, Kommentarinhalt als auch die E-Mail Adresse – bequem, geht aber gar nicht mehr. Zum Glück steht im Plugin-Repository eine kostenlose Alternative bereit. AntiSpamBee verrichtet seinen Job sowohl zuverlässig als auch im Einklang mit der DSGVO. Achtung: Die Funktion „öffentliche Spamdatenbank berücksichtigen“ muss deaktiviert bleiben, da Spam-Datenbanken den Abgleich der vollständigen IP vornehmen (nona). Die Sprach-Identifikation via Google überträgt allerdings nur den Kommentartext und keine weiteren Daten.

  • User-Registrierung

    Bietet ein Blog die Möglichkeit der Registrierung an, so dürfen nur jene Daten gespeichert werden, die mit für die angestrebte Funktionalität erforderlich sind. Bei einer Community-Seite, die personalisierte Geburtstagswünsche verschickt oder regionalisierte Newsletter, wird die Speicherung der betreffenden Daten durchaus Sinn machen. Das Einverständnis des Nutzers und ein Hinweis auf die Datenschutzerklärung sind in jedem Fall erforderlich.

  • Cloudflare

    [Update 21.3.2018]  Cloudflare ist ein amerikanischer Anbieter, der Webseitenbetreibern zwei Vorteile bietet: Bessere weltweite Performance durch das hauseigene CDN (Content Distribution Network) und zusätzliche Sicherheit gegen DDoS Attacken. Neben dem kommerziellen Produkt bietet Cloudflare, das sich auf die Fahnen schreibt, den größten, schenllsten und verlässlichsten DNS-Service der Welt zu betreiben, ein grundlegendes Schutzpaket (ohne CDN-Funktionalität) kostenlos an. Man routet sozusagen die DNS-Requests über Cloudflare, die eingebaute WAF (Web Application Firewall) blockt die meisten DDoS Attacken sehr zuverlässig. Das Gratis-Angebot „Servershield“ könnte durchaus gegen DSGVO Bestimmungen verstoßen, bei der Nutzung des CDN wird garantiert ein Datenverabeitungs-Vertrag fällig. Ich war einigermaßen überrascht, dass Cloudflare eine GDPR Landingpage eingerichtet hat. Dort findet man auch einen Link zu einem laut Eigenauskunft DSGVO-kompatiblen Vertrag. Der ist allerdings mit eingescannter Unterschrift des CEOs blanko-unterschrieben – ob diese Form der Abwicklung einer gerichtlichen Prüfung standhält, wage ich zu bezweifeln.

  • Caching-Plugins

    [Update 21.3.2018]  Caching Plugins sind per se eigentlich kein Problem, ganz im Gegenteil: Dank korrekt implementierter Caching-Lösungen werden Europäer auch in Zukunft beispielsweise Instagram-Widgets GDPR-konform auf WordPress-Seiten einbauen können. Der entscheidende Punkt: Die Drittanbieter-Daten dürfen nicht live bei Aufruf der Seite abgerufen werden, sondern müssen bereits vorher lokal gespeichert sein – so wird die Übertragung der IP-Adresse an Drittservices zuverlässig verhindert. Allerdings bieten viele Caching-Plugins optional die Möglichkeit an, ein CDN (Content Distribution Network) zu nutzen. Die Idee: Durch die Spiegelung datenintensiver Inhalte (Bilder, Videos) auf verschiedene Server gewährleisten CDNs weltweit einen schnellen Seitenaufbau. Zu den populärsten CDN-Anbietern gehörten Amazon und Cloudflare (siehe „ungeklärte Fragen“). Das Problem dabei: Analog zu Embeds wird beim Abruf der Daten die IP-Adresse des Nutzers an den jeweiligen CDN-Betreiber übermittelt. Nach derzeitigem Stand sollte die Nutzung solcher CDNs deaktiviert werden, es sei denn, der Anbieter hält sich an die Privacy Shield Bestimmungen UND offeriert einen Datenverarbeitungs-Vertrag.

  • Jetpack

    [Update 21.3.2018]  Einzelne Plugins aufzuzählen und deren GDPR-Compliance zu bewerten, überfordert bei der schier unüberschaubaren Zahl an WordPress-Extensions meine bescheidenen Möglichkeiten bei weitem. Trotzdem möchte ich aufgrund der Popularität dieses Plugins oder besser dieser Pluginsammlung anmerken: Das populäre Jetpack for WordPress geht gar nicht mehr. Auch vor Inkrafttreten der DSGVO hätte ich von der Nutzung dieses aufgeblähten, sperrigen Konvoluts dringend abgeraten. Die meisten Features und Funktionen greifen auf Auttomatic Server zu und bieten im Vergleich zu self-hosted Alternativen meiner Meinung nach keinen rechtfertigbaren Mehrwert. Der Vollständigkeit halber sei trotzdem erwähnt, dass die Verantwortlichen eine GDPR-konforme Version in der Pipeline haben:

  • Push Notifications

    [Update 27.3.2018]  Browser-Benachrichtigungen bei Seiten-Update erfreuen sich ungebrochener Popularität – zumindest bei Webmastern und Marketern. Kaum eine Webseite, die nicht beim ersten Besuch nachfragt, ob sie auch ein bisschen Facebook spielen und Push-Notifications senden darf. Wie sinnvoll solche Push Notifications für kleine und mittlere Blogs wirklich sind, muss jeder selbst entscheiden. In Sachen DSGVO spielt die Implementation eine beträchtliche Rolle. Ob über Plugin oder direkt eingefügtes JavaScript eingebunden, alle mir bekannten Systeme nutzen Drittserver. Die Frage lautet also: Werden IPs obfuskiert wie vorgeschrieben, welche Daten speichert der Dienstleister auf seinem Server, kümmert er sich um DSGVO-Compliance und wird gegebenenfalls ein Daten-Verabeitungs-Vertrag fällig?

    Einer der populärsten Anbieter ist Pushcrew, was vor allem daran liegt, dass man mit dem kostenlosen Account bis zu 2.000 Abonnenten beschicken kann. Die ausführlichen GDPR Informationen und die Roadmap bis zum 25. Mai stimmen zuversichtlich – hier hat sich ausnahmensweise ein nicht-europäisches Unternehmen proaktiv mit der Problematik beschäftigt. Im Account wählt man unter dem Punkt „Privacy Settings“ aus, ob IP Adressen (in obfuskierter Form, also ohne die letzten paar Stellen) und Locations der Subscriber überhaupt gespeichert werden sollen. Die Impressums-Recherche ergibt übrigens, dass Pushcrew ein Produtk des indischen IT-Dienstleisters Wingify mit Standorten in Delhi und Puna ist.

Ungeklärte Fragen

Was bedeutet die DSGVO für Embeds, Social Logins und Werbe-Elemente, die über Dritte eingebunden werden? Werden wir in Zukunft das Facebook Tracking Pixel überhaupt noch verwenden können? Nach derzeitigem Stand sind noch längst nicht alle Fragen abschließend geklärt.

Ich habe die oben erwähnten Punkte hier auf datenschmutz großteils umgesetzt. Alle Tracking-Pixel sind entfernt (FB, Doubleclick durch AdSense), Analytics wird anonymisiert. Die Kommentarfunktion und alle Formulare sind entsprechend umgebaut. Über Fonts und einige weitere technische Details muss ich mir derzeit keine Gedanken macht, das Enfold Theme wird rechtzeitig entsprechend angepasst.

  • Werbung, Counter von Drittseiten etc.

    In der Blogosphäre spielen Code-Snippets von Drittseiten eine wichtige Rolle. Aggregatoren und Influencer Agenturen messen damit die Reichweite des Blogs. Hat man Snippets etwa von Bloglovin, Blogheim.at oder ähnlichen Seiten eingebunden, ist darauf zu achten, dass der jeweilige Anbieter die IP-Adressen entsprechend anonymisiert. Das gleiche gilt für eingebundene Werbung, die von Dritt-Adservern ausgeliefert werden. Analog zu Analytics muss vermutlich mit jedem einzelnen Anbieter ein Vertrag über die Datenverarbeitung abgeschlossen werden – das könnte einige Geschäftsmodelle killen.

    [Update 24.5.2018]  Etliche Drittanbieter bemühten sich bisher (mehr oder weniger) erfolgreich um GDPR Compliance. In der Praxis wären selbst bei so trivialen Snippets wie Ländern-Countern ADVs verpflichtend – man wird sich also als Webmaster gut überlegen, welche Services man tatsächlich benötigt und welche bloß unnötigen Ballast darstellen. Im Zweifelsfall helfen explizite Opt-In Lösungen: Der Nutzer muss also vor der Aktivierung des Snippets der damit verbundenen Datenübertragung zustimmen.

  • Wordfence / Security Plugins / IP Blacklisting

    [Update 21.3.2018]  Einen Punkt, auf den mich Markus Pircher hingewiesen hat, habe ich bisher völlig übersehen: Die meisten Security-Plugins nützen neben diversen Monitoring-Mechanismen auch IP-Abgleiche, um diverse Angriffe abzuschwächen oder im Optimalfall zu unterbinden. Der populärste Vertreter dieser Gattung ist wohl Wordfence, das ich auch hier auf datenschmutz im Einsatz habe. Grundsätzlich halte ich es für keine besonders schlaue Idee, 2018 eine kommerzielle WordPress-Seite ohne WF oder gleichwertige Schutzmechanismen zu betreiben. Und ich wüsste nicht, wie man bestimmte Angriffe ohne IP-Abgleich sinnvoll abwehren könnte. Der Wordfence Support hat zwar angekündigt, Bestrebungen in Richtung GDPR Compliance zu unternehmen, allerdings ohne Details zu verraten.

    Das wirft zusätzlich eine generelle Frage auf: Inwieweit wird das Black-/Whitelisting von IPs durch diverse Security-/Spamabwehr-Plugins überhaupt noch zulässig sein? Wir haben es hier mit zwei grundsätzlich verschiedenen Problemkreisen zu tun: WordFence schickt verdächtige IPs an Drittserver in den USA und speichert zugleich lokale Blacklists. Die eigene Webseite vor Hackerangriffen und Spam-Attacken zu schützen, sollte zwar ein berechtigtes Interesse darstellen – aber ein Vertrag über die Datenverarbeitung, den Wordfence bislang nicht anbietet, wird kaum zu umgehen sein – auch in der Gratisversion des Plugins.

    [Update 24.5.2018]  Defiant, die Firma hinter WordFence, hat in den letzten Wochen zahlreiche Bemühungen unternommen, um ihre Software DSGVO-kompatibel zu gestalten. Das äußert sich einerseits in den neuen Nutzungs-/Datenschutzbedingungen, die jeder Webmaster in der aktuellen Version abnicken muss, bevor das Plugin weiterhin seinen Dienst verrichtet. Zweitens findet man auf dem eigens eingerichteten GDPR-Portal eine Datenschutzvereinbarung, die auch Nutzer der kostenlosen Version unterschreiben und an Defiant mailen können.

    Vorsicht ist dennoch geboten, denn eine so komplexe Software wie WordFence lässt sich nicht via Knopfdruch und Unterschrift allein bändigen. Wie Defiant ausführlich erklärt, ist der Nutzer selbst dafür verantwortlich, eine entsprechende Passage in seiner Datenschutzerklärung unterzubringen. Ein Aufwand, der sich meiner Ansicht nach lohnt – und gerade in Sachen Sicherheit dürfte berechtigtes Interesse vergleichsweise einfach zu argumentieren sein.

  • Andere Social Media Elemente und Embeds

    Offenbar eine der großen ungelösten Fragen. Es dürfte derzeit noch ungeklärt sein, ob ein Hinweis ausreicht, oder ob der Benutzer sogar aktiv einwilligen muss. Facebook hat zwar eine Stellungnahme veröffentlicht, aber die sagt rein gar nichts aus übers Tracking Pixel oder die verschiedenen Social Plugins. Bis zur weiteren Klärung empfehle ich, auf Social Plugins zu verzichten.

    [Update 24.5.2018]  Die ersten Theme-Autoren bieten entsprechende Lösungen an. So implementiert etwa Enfold in der aktuellen 4.4er Version diverse Shortcodes und Opt-In Abläufe, um die betreffenden Elemente (Youtube Videos, Google Maps etc.) erst nach explizitem Opt-In des Nutzers zu laden. Eine Alternative bietet der iFrame Blocker von Borlabs Cookie.

  • WordPress-Embeds

    WordPress unterstützt standardmäßig eine ganze Reihe von Open Embeds. Durch Einfügen des Links können Youtube Videos, Tweets, öffentliche Facebook Postings und eine ganze Reihe weitere Inhalte von Drittseiten eingebunden werden. Diese Inhalte werden bei jedem Seitenaufruf vom Server des Anbieters geladen, wodurch der die IP Adresse des Seitennutzers sowie den Referrer erhält – meiner Meinung nach unvereinbar mit dem DSGVO. Eine mögliche Lösung wären lokal gecachte Screenshots (analog zur Lazy Load Einbindung von Youtube Videos). Eine derartige technische Lösung ist mir bis dato nicht bekannt. Im Zweifelsfall wird uns wohl nichts anderes übrig bleiben, als sämtliche Embeds in Textlinks umzuwandeln.

    [Update 24.5.2018]  Eine, wenngleich visuell wenig befriedigende Alternative, wäre die mittels entsprechender Plugins wie Clearfy die Embed-Funktionalität komplett abzudrehen.

  • CDNs

    [Update 13.3.2018]  Content Distribution Networks verteilen Daten auf verschiedene Cloudserver – ein beträchtlicher Vorteil bei Multimedia-lastigen und internationalen Seiten, der die Ladegeschwindigkeit drastisch verringern kann. Aus diesem Grund unterstützen viele Caching-Plugins gängige CDNs, etwa die Amazon Cloud. Das Problem dabei: Die einzelnen Ressourcen werden von CDN-Servern geladen, die irgendwo auf der Welt stehen. Bereits beim Aufruf der Seiten gibt der Browser des Nutzers mindestens seine IP an den CDN-Betreiber weiter.

    [Update 24.5.2018]  Ob man solche CDNs nutzt, wird im Einzelfall von Erwägungen wie Betriebssicherheit, Verfügbarkeit etc. abhängen. In jedem Fall wird in ADV mit dem entsprechenden CDN-Anbieter fällig. Die Nutzung derartiger Systeme sollte unter Klärung des berechtigten Interesses natürlich in die Datenschutzerklärung mit aufgenommen werden.

  • Social Logins

    Social Login Plugins bieten Nutzern die Möglichkeiten, sich via Facebook, Google+, Twitter etc. zu registrieren bzw. einzuloggen. Bei der technischen Implementierung wird es darauf ankommen, dass erst nach Zustimmung des Nutzers – also keinesfalls beispielsweise bereits beim Laden des Login-Formulars – 3rd Party Elemente mitgeladen werden. Dies technisch sicherzustellen, dürfte die Programmierkenntnisse vieler Blogger überfordern.

    [Update 24.5.2018]  Alle derzeit verfügbaren Social Login-System nutzen Facebook-Bibliotheken bzw. Apps. Eine DSGV-konforme Nutzung wird im Zweifelsfalls also ebenfalls erst nach Opt-In möglich sein. Derzeit ist mir kein WordPress-Plugin mit der entsprechenden Funktionalität bekannt.

  • Social Locker

    [Update 13.3.2018]  Der Social Locker von OnePress ist eine populäre Möglichkeit, die Nutzer für bestimmte Inhalte mit einem Like oder Tweet „bezahlen“ zu lassen. Allerdings bindet die Erweiterung das Facebook Widget ein – hier wäre zumindest nach Meinung deutscher Gerichte ein vorgelagertes Opt-In erforderlich. Mögliche, wenngleich wenig elegante Lösung: Eine Entrance Page á la „Bist du schon 18?“, die allen Social Locker Beiträgen vorgeschalten wird und vom Nutzer eine explizite Zustimmung verlangt.

    [Update 24.5.2018]  Die Nutzung eines Social Lockers könnte möglicherweise auch in Problem in Sachen Kopplungsverbot darstellen. Ob die DSGVO tatsächlich Geschäftsmodelle á la „Pay with a Tweet“ völlig verunmöglicht, wird die Rechtssprechungs-Praxis zeigen. Eine Datenweitergabe zum Aufruf exklusiver Inhalte zu verlangen, dürfte jedenfalls nicht im Sinne der DSGVO sein.

Nützliche Links zur DS-GVO

Viele Blogger machen sich Gedanken über eine korrekte Umsetzung der Bestimmungen – und stellen ebenso wie der Autor dieses Beitrags fest: Es wird immer komplizierter, je genauer man hinschaut. Wer sich umfassend informieren möchte, dem empfehle ich die folgenden Beiträge mit Tipps und Best Practices.

Abschließend sei noch gesagt, dass moderne Blogs sehr unterschiedlich aufgebaut sind und ganz verschiedene Technologien einsetzen. Jeder Betreiber wird also im Einzelfall genau überlegen müssen, wie welche Funktion Datenschutz-konform weitergenutzt werden kann oder vielleicht abgedreht werden muss. Über Ergänzungen, Anregungen und Fragen via Kommentarformular freue ich mich.


Titelbild: Piotr Marcinski / Fotolia
Schild-Icon: freepik / flaticon.com
Dieser Beitrag enthält Affiliate Links.

0 Kommentare
  1. Stefan
    Stefan sagte:

    Oha, das sieht nach viel Arbeit aus.

    Wie ist das, wenn ein Deutscher, wohnhaft in Thailand, eine Webseite auf Deutsch betreibt, auf der er u.a. auch Hotels.com empfiehlt? Die Adresse im Impressum ist in Thailand. Da müsste das doch gar nicht nötig sein, oder?

    Viele Grüße aus Mae Sai, der nördlichsten Stadt Thailands
    Stefan

  2. Katherina Ushachov
    Katherina Ushachov sagte:

    Hallo!

    Wie ist es eigentlich, wenn man gar nicht selbst hostet? Brauche ich einen Vertrag mit Google Analytics für meine drei über WordPress betriebenen Seiten oder hat WordPress die schon? Ich habe ja gar keinen Einfluss auf die ganzen technischen Sachen, könnte also viele Dinge gar nicht selbstständig ändern.

    LG,
    Katherina

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Da bin ich überfragt, wie das mit Dritthostern läuft. Aber ich vermute mal, dass du als Betreiber für Google selbst zuständig bist. Um die Dinge, die Nutzer selbst nicht ändern bzw. beeinflussen können, muss ich wp.com kümmern – eventuell musst du dann mit denen einen solchen Nutzungsvertrag abschließen.

    • Marcus
      Marcus sagte:

      Das google-Analytics-Konto dürfte Dir gehören.

      Also: Ja, Du brauchst den Vertrag – aber nicht erst mit der DSVGO. Den müsstest Du schon seit mindestens 2 Jahren haben.

      Aber nicht vergessen: Bisherige(s) Konto / Konten löschen und ein neues erstellen und dafür den Vertrag abschließen.

      Das brauchen übrigens keine 3 Verträge zu sein, da Du bei GA in einem Konto mehrere Domains verwalten kannst

  3. Lars R.
    Lars R. sagte:

    Hallo Herr Pettauer,

    Danke für die Zusammenfassung, da ich selber Websites betreibe und auch für Kunden erstelle, komme ich um das Thema nicht wirklich herum.

    Da hilft mir so eine Checkliste weiter.

    Auf was noch nicht eingegangen wurde, ist die SSL Verschlüsselung der Websites, wer einen WordPress Blog betreibt, für den habe ich dazu einen Artikel verfasst.

    https://www.der-lars.at/nur-7-schritte-um-wordpress-mit-plugin-auf-https-umzustellen/

    Ohne SSL Verschlüsselung bringen Zustimmungserklärungen usw. nichts, da die Daten dann unverschlüsselt übertragen werden.

    Dann einen Hinweis noch zu den Cookiehinweisen, diese überlagern oft den Impressumslink im Footer, welches dann nicht unmittelbar erreichbar ist, daher würde ich empfehlen einen Impressumslink auch in den Cookiehinweisbanner einzufügen.

    Zu der DSGVO:

    Was mich die ganze Zeit beschäftigt, ist die Frage ob IP-Adressen als personenbezogene Daten gelten oder nicht?
    Der Hintergrund: Viele Websites benötigen keine Kommentarfunktion und auch keine Kontaktformulare.
    Wenn ich jetzt nur einen Link zu meiner Facebook-Seite setze (kein Share oder Likebutton), keine Kommentarfunktion anbiete und Kontakt per E-Mail Link bzw. Telefon anbiete, auf Analytics verzichte und nichts einbette, dann sollte ich doch von der DSGVO und der Verzeichnispflicht nicht betroffen sein, oder?

    Ist dann nicht speziell für Blogs, aber eben für Firmenpräsentationen wie der Website für einen KFZ Betrieb gedacht.

    Wenn ich keine Daten erhebe, brauche ich mich ja auch nicht um dessen Schutz kümmern, wenn da nicht die Frage der IP-Adressen der Besucher im Raum stehen würde.

    Gruß
    Lars

    • Markus Ueberall
      Markus Ueberall sagte:

      IP-Adressen *sind* personenbezogen (vgl. https://www.lawblog.de/index.php/archives/2017/05/16/ip-adressen-sind-personenbezogen/); infolgedessen ist darauf zu achten, daß bei den in der Regel durch den Webserver standardmäßig protokollierten Zugriffen eine zeitnahe Anonymisierung der IP-Adressen stattfindet (durch Unkenntlichkeitmachung zumindest eines Teils der IPv4-/IPv6-Adresse), oder aber die Protokollierung i.d.R. ganz unterbleibt, sofern sie nicht (wie etwa im Rahmen von Angriffen auf einen Webserver) für einen gewissen Zeitraum (zwingend) erforderlich ist.
      (Ein paar Gedanken/Ansätze hierzu finden sich beispielsweise unter https://www.datenschutzbeauftragter-online.de/ips-speichern-in-der-praxis/138/)

        • anonym
          anonym sagte:

          und da geht die DSGVO (bzw. die Interpretation) zu weit. !das ist jetzt stark vereinfacht! – technische Anforderungen bzw. Voraussetzungen für das Internet können/dürfen nicht einfach ignoriert werden.
          zB: Server logs sind essentiell für die Sicherheit des Servers. im schlimmsten Fall kommt es zu einen unbemerkten und erfolgreichen Angriff mit dem Endresultat, dass der Angreifer nun über alle einvernehmlich gespeicherten personenbezogenen Daten verfügt. und genau das zu verhindern sollte die eigentliche Aufgabe der DSGVO sein. Serverseitige Sicherheitsmaßnahmen auszuschalten ist der falsche Weg, wenn es eigentlich darum geht kommerzielle Unternehmen zu einen verantwortungsvollen Umgang mit Kundendaten zu erziehen/zwingen.

          das soll bitte nicht heißen, dass wenn die Server logs ausgeschaltet sind automatisch ein nicht autorisierter Zugriff erfolgt. ;)

          • Ritchie Pettauer
            Ritchie Pettauer sagte:

            Hehe… schöner letzter Satz! Bin da grundsätzlich der gleichen Meinung – aber das ist nur einer der vielen Bereiche, wo eine (zu) strenge Auslegung der DSGVO mit anderen Bestimmungen (oder zumindest sinnvollen Best Practices) kollidiert.

  4. Vicky
    Vicky sagte:

    Ich habe eine Frage zum Google Analytics Vertrag. Im ersten Satz steht … Vertragstext zur Auftragsdatenverarbeitung nach deutschem Datenschutzrecht…
    Ist der Vertrag dann überhaupt auch in Österreich gültig oder gibt es da etwas länderspezifisches?

  5. Denise
    Denise sagte:

    Danke für den ausführlichen Bericht – wenngleich mir die Materie noch nicht ganz klar ist. Benutze zB Blogger & die dort automatisch eingebundenen Funktionen. Hach… Will doch von niemandem Daten speichern, sondern nur als Hobby bloggen.

    Viele Grüße, Denise

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Denise, bei Blogger ist mir nicht ganz klar, wie die das lösen werden – kann man auf Blogger noch kommentieren, ohne eingeloggt zu sein? Wenn Blogger ein Login verlangt, haben die die entsprechenden Passagen vermutlich in ihren AGBs drin. Ich denk aber, da musst du dir als Nutzerin nicht groß Gedanken machen.

  6. Anne
    Anne sagte:

    Guten Morgen, Danke für diesen Beitrag.

    Ich habe eine kurze Frage zu meinem eigenen Fall: Ich betreibe einen privaten (im Sinne von nichtgewerblich) Blog über Blogger und schicke keine Cookies, sammle keine Daten, nutze kein Google Analytics (oder andere vergleichbare Angebote) und werde im Mai wegen fehlender SSL-Verschlüsselung auch das Kontaktformular von der Seite nehmen.

    Darf ich mir dann die nähere Auseinandersetzung mit der DSVGO sparen? Oder mache ich es mir zu leicht?

    Viele Grüße, Anne

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Wenn du überhaupt keine Werbung drauf hast (keine Affiliate Links und Banner) und das Blog rein privat ist und du alle Datenspeicherungen deaktiviert hast, dann kannst du die DSGVO getrost ignorieren! Ich würd allerdings trotzdem eine kurze Datenschutz-Erklärung online stellen – quasi den Inhalt des ersten Absatzes dieses Kommentars.

        • Ritchie Pettauer
          Ritchie Pettauer sagte:

          Gerne! Mit dem anonymen Kommentieren ist das halt so eine Sache – das kommt im Detail drauf an, ob z.B. IPs gespeichert werden. Aber der entscheidende Punkt ist rein privates Blog. Grundsätzlich richten sich die Bestimmung der DSGVO an Unternehmen.

      • Chris
        Chris sagte:

        Hallo, mein wordpress.Com-Free-Blog ist ein privater Hobbyblog ohne Affiliate-Links oder Werbebannern. Soweit okay. ABER es sind AdSense-Banner darauf, die WordPress schaltet. Ich sehe davon natürlich keinen Cent. Muss ich trotzdem die DSGVO beachten? Schönen Gruß Chris

        • Ritchie Pettauer
          Ritchie Pettauer sagte:

          Hallo Chris, das ist ein meines Wissens ungeklärter Fall – weil die DSGVO das Setup, dass ein Plattformbetreiber und nicht der Seitenbetreiber Werbung schaltet, gar nicht berücksichtigt. Kommt darauf an, ob Juristen wp.com analog zu Facebook sehen (Pages sind ja auch öffentlich zugänglich) oder nicht.

          • Anne
            Anne sagte:

            Genau das ist auch das, was mich gerade verrückt macht. Ich habe immer gedacht, dass mich die DSGVO nicht betrifft, da ich ebenfalls rein privat (also nicht gewerblich) einen öffentlichen Blog über das kostenlose WordPress betreibe.
            Und nun soll ich Verantwortung über die evtl. genutzten Daten auf WordPress übernehmen, auf die ich gar keinen Einfluss habe? Z.B. genau diese Werbung, die WordPress schaltet? Muss ich jetzt plötzlich ein Impressum und eine Datenschutzerklärung einrichten, in der ich den Nutzern der Seite Rechte gewähre, die ich selbst gar nicht einhalten kann? Gibt es eine Möglichkeit, rechtssicher auf WordPress‘ Erklärung hinzuweisen, oder muss ich meinen Blog jetzt doch abschalten?

          • ChrisM
            ChrisM sagte:

            Ich stecke leider in genau dem gleichen Dilemma und habe meine Seite nun aus Angst vor Stress deaktiviert, was für mich sehr unzufriedenstellend ist. Zumal sich die Einbindung externer Server, wie etwa Facebook oder auch die Kommentarfunktion, in der freien Version gar nicht deaktivieren lassen, ich bin also gar nicht in der Lage, das zu beeinflussen oder darüber angemessen aufzuklären. Obendrein steht die Datenschutzerklärung, die wordpress.com selbst auf der Seite hat, nur in englischer Sprache zur Verfügung. Das ist nach deutschem Recht m.W. so ja auch gar nicht zulässig. Aus meiner Sicht setzt der Betreiber seine Nutzer da einer ziemlichen Gefahr aus.

  7. L♥ebe was ist
    L♥ebe was ist sagte:

    danke für diesen umfassenden Beitrag!

    ich bin soweit schon aufgerüstet … das einzige was nich fehlt, ist die Zustimmung zum Datenschutz mit dem Plugin! ich habe genau das empfohlene installiert auf meinem WP-Blog – aber leider wird vom Plugin kein Kontrollkästchen zum anklicken generiert und der Leser, der kommentieren woll bekommt immer einen Fehler angezeigt, dass er es noch anklicken soll …

    eigtl. sollte das Plugin ja leicht funktionieren und selbsterklärend sein – aber was mache ich denn falsch dabei???

    brauche dringend Hilfe! danke im Voraus :)

    liebste Grüße auch,
    Tina

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Tina,

      freut mich, dass dir der Beitrag weitergeholfen hat!

      Zur Checkbox: Das liegt zu 90% an deinem Theme oder an Plugins, die etwas am Kommentarformular ändern. Ist leider etwas kompliziert, weil es für das WordPress Kommentar Formular kein Template gibt, sondern die Felder aus der functions.php heraus generiert werden. Aber Appsaloon sind da wirklich extrem hilfreich – schick Ihnen über das WordPress Support Forum eine Anfrage, die melden sich sehr schnell.

      Aber du hast es mittlerweile hinbekommen, oder? Hab grad dein Blog besucht. Btw: Respekt! Tolle Beiträge, hab grad den Weekender gelesen.

  8. Matthias
    Matthias sagte:

    Danke für den Beitrag. Man muss sich die Informationen wirklich krümmelweise überall zusammen suchen. Da hast du schon viel abgedeckt.

    Ich persönlich werde auf meinem Blog(s) so viel wie möglich abschalten.

    – Kein Sumo mehr
    – Kein Facebook Pixel (hatte ich eh nur kurz)
    – Kommentare nur ohne Mailadresse
    – Adsense via Deaktivierungslink im Impressum/Datenschutz
    – Analytics nur mit gekürzten IPs

    Zu denken geben mir die Einbettungen von Youtube Videos. Da muss ich nochmal ran … aber das warte ich erstmal ab.

    PS: Das du den Haken beim abonnieren des bulletins default-mässig gesetzt hast ist Absicht? :)

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hi Matthias, ich hab mich bemüht :) Und auch schon das meiste rausgeworfen. Sumo hab ich nie verwendet, Facebook Pixel und AdSense sind draußen (ich hatte 1 Square Banner im Sidebare, hat sowieso genau *nix* gebracht). Was die Youtube Videos (und andere Embeds) angeht, bin ich auch noch unschlüssig. Aber die Kommentare… das ist so eine Sache. Ohne E-Mail keine Notification, und die IP Adresse speichert WP ja trotzdem.

      Der Haken war ein Versehen – ich hatte vergessen, nach dem Testen wieder umzustellen. Danke für die Erinnerung!

      • Matthias
        Matthias sagte:

        War nicht böse gemeint mit dem Haken. Wunderte mich nur, weil du vorher so explizit auf nicht gesetzte Haken hingewiesen hattest :)

        Ja die IP in den Kommentaren ist mir auch aufgefallen. Was machst du mit den Server Logs? Die speichern ja auch IP Adressen beim Zugriff …

        • Ritchie Pettauer
          Ritchie Pettauer sagte:

          Hehe… kein Problem. Bin froh, weil da wird man selber immer leicht betriebsblind :)

          Die Serverlogs sind mir insofern relativ egal, weil ich eine Root-Kiste bei Hetzner stehen habe und die selber komplett abdrehen kann bzw. täglich löschen.

  9. Sina
    Sina sagte:

    Ich habe nur einen 0815 Blog von WordPress, also das Basismodell wo man kaum Möglichkeiten hat, selbst technisch zu schrauben. Leider sind alle Checklisten immer nur für selbstgehostete Blogs, daher hänge ich mit meinem Wissen (egal wie wo was ich lese ich komme nicht weiter) noch ziemlich in der Luft. Google Analytics kann ich nicht nutzen, muss ich trotzdem einen Vertrag haben? Blogfoster etc habe ich angeschrieben nur da hieß es die Arbeiten an was. Tja… meinen Gravatar wollte ich löschen, geht aber nicht weg. Kontaktformular schmeiße ich raus. Was muss ich noch beachten?

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hi Sina, du meinst WordPress.com, oder? Soweit ich das beurteilen kann, werden die europäischen Nutzer vermutlich einen Vertrag mit WP.com abschließen müssen. Analytics und so weiter können dir egal sein, WP.com hat ein eigenes Tracking-System. Blogfoster hat das gleiche Problem wie alle Tracking-Pixel/Embeds. Einerseits soll die IP obfuskiert werden, andererseits ist dann keine sinnvolle Ermittlung von Unique Visitors möglich. Ich bin neugierig, wie die Plattformen dieses Dilemma lösen werden und was sich Blogfoster einfallen lässt.

      • Sina
        Sina sagte:

        Genau ich habe WP com. Danke für die Antwort. Da gehe ich davon aus, dass WP uns so Verträge schickt? Weil wenn jeder dort kontaktiert wird das ja niemals was…

          • Sina
            Sina sagte:

            Eben das würde WP gar nicht auf die Reihe bekommen. Gerade habe ich aber gelesen, dass nur der Business Tarif wohl abgesichert wäre. Hmm.
            Ansonsten muss ich als 0815 WP com Mensch mich um die korrekte Datenschutzerklärung kümmern. Habe ich zwar schon geupdated, weiß aber nicht ob korrekt. Und diese Datenverarbeitungsliste da anlegen. Die verwahre ich bei mir in der Schublade?

          • Ritchie Pettauer
            Ritchie Pettauer sagte:

            Das ist schon heftig – wobei: erlaubt wp.com in der Free-Version eigentlich kommerzielle Seiten?

            @Datenverarbeitungsverzeichnis: Ja genau, das liegt in der Schublade und muss im Ernstfall on demand hergezeigt werden.

          • Sina
            Sina sagte:

            Kommerziell wäre ja schon jeder, der etwas vorstellt oder testet und Marken benennt. Ich kenne mich damit nicht aus. Ich schätze entweder aufhören oder Business abschließen.

          • Vera
            Vera sagte:

            Hallo Sina und Ritchie,
            ich hab deinen Beitrag gelesen und bin jetzt erstmal platt. Ich bin auch bei WP.com, Sina und kann im Basistarif ja noch nicht mal Cookies aktivieren. Für meine „Buisiness“ lohnt es sich aber mal gar nicht 24€/Monat für den entsprechenden Tarif auszugeben. Hat irgendwer schon eine andere Lösung gefunden, außer seinen Blog zu löschen????
            Für Hilfe bin ich extrem dankbar.
            Grüße, Vera

          • Ritchie Pettauer
            Ritchie Pettauer sagte:

            Hallo Vera, wp.com ist ziemlich teuer im Vergleich zu selbst gehosteten Seiten. Längerfristig gedacht würd ein Umzug auf ein selbst gehostetes WordPress aus mehreren Gründen Sinn machen. Ich habe aber nicht im Detail verfolgt, was wp.com bei der Basisversion in den nächsten Tagen noch anpassen wird.

  10. Graziella
    Graziella sagte:

    Hallöchen,

    ich danke dir sehr für deinen ausführlichen Bericht, der mir sehr geholfen hat. Ich versuche gerade mit dem empfohlenen Plug-In die Kommentarfunktion zu überarbeiten aber ich finde einfach nicht, wo ich die Checkbox einfügen kann und wo ich den Hinweis als Text auf die Datenschutzrichtlinien eingeben kann. Kannst du mir bitte, bitte weiterhelfen, ich verzweifle gerade.

    Lieben Dank!

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Graziella, sehr gern! Es gibt inzwischen noch ein Plugin: Probier mal WP GDPR [https://wordpress.org/plugins/wp-gdpr-core/] aus. Das fügt die Checkbox automatisch ein – wenn das bei dir nicht funktioniert, dann könnte es an der Implementierung der Kommentare in deinem Theme liegen. Den Datenschutzhinweis kannst du direkt am Einstellungs-Screen des Plugins editieren. Und ein Kommentar-Lösch-Interface ist auch noch integriert.

  11. Carolin
    Carolin sagte:

    Vielen Dank für diesen ausführlichen Beitrag! Da kommt noch einige Arbeit auf mich zu.
    Derzeit suche ich verzweifelt nach DSGVO kompatiblen Social Sharing Buttons. Jetzt nutze ich Social Warfare, AddToAny and Jquery Hover buttons. Leider hat mir noch keiner auf meine Anfragen per Email geantwortet. Gehe aber davon aus, dass diese Plugins bald nicht mehr gehen. Wird „Click-To-Tweet“ noch erlaubt sein?
    Die Share Button-Alternative, die ich bisher gefunden habe und die DSGVO konform ist, wäre Shariff. Aber nicht nur sind die Buttons häßlich, sie hatten auch seit 3 Jahren kein Update mehr.
    Ich wäre dankbar für Vorschläge!

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Carolin, freut mich, dass dir der Beitrag gefällt – ist und bleibt ein „Work in Progress“; es kommen ja immer wieder neue Herausforderungen dazu :)

      Zuerst zur Click-to-Tweet Funktion: Die sollte kein Problem sein: das ist technisch gesehen nichts weiter als ein Hyperlink, der den Inhalt des Tweets mitgibt. Keine Datenübertragung bis zur tatsächlichen Nutzung.

      Bei den Sharing-Buttons liegt die Sache etwas komplizierter, da es unterschiedliche technische Implementierungsmöglichkeiten gibt. Die bloße Teilen-Funktion könnte man analog zum Click-to-Tweet über einen simplen Link anbieten. Schwieriger wirds bei den Countern – hängt dann im Detail davon ab, ob die gecacht werden oder ob das Plugin bei jedem Zugriff die aktuelle Zahl von den Social Networks abfragt. Leider findet man nicht mal eine Zeile Info in den offiziellen FAQs. Ich hab gerade ebenfalls eine Anfrage an den Warfare Plugins Support geschickt. Normalerweise sind die recht flott bei Pro-Usern. Sobald ich was erfahren, sag ich Bescheid.

      • Carolin
        Carolin sagte:

        Danke für die Antwort! Bin auch Social Warfare Pro User, aber warte noch immer auf Antwort. Hoffentlich gibt es die Möglichkeit, die Buttons weiter zu verwenden.

        • Ritchie Pettauer
          Ritchie Pettauer sagte:

          Gerne! Ja, das hoffe ich auch – hab bisher ebenfalls noch keine Antwort bekommen. Nicht unbedingt das beste Zeichen… aber wie gesagt: Grundsätzlich sind Sharing Buttons kein Problem, die lassen sich (wenn die Buttons nicht via iframe eingebunden sind) notfalls auch als simpler Text-Link realisieren.

      • Carolin
        Carolin sagte:

        Danke Chris!
        Werde wohl auf Shariff Wrapper umsteigen.

        P.S. Social Warfare hat zwar inzwischen geantwortet, schrieben aber, dass sie ja in den USA seien und daher nicht planen, etwas zu ändern.

  12. Nachtigaller
    Nachtigaller sagte:

    Danke. Das liest sich alles sehr deprimierend.

    Jetzt muss man für ein olles Blog oder Forum schon Jura studieren.

    Und die Leute wundern sich, warum das Internet ausstirbt und nur noch aus Facebook und ähnlichen Monopol-Vereinen mit Rechtsabteilung besteht.

    Na, dem Datenschutz hat das aber geholfen. Nicht.

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Ja, das ist auch meine Hauptkritik an der DSGVO. Aber andererseits musste dieser Einschnitt irgendwann mal kommen. Ich hab das Safe Harbor Abkommen immer als Feigenblatt kritisiert. Nun haben wir aber das Problem, dass den meisten amerikanischen Anbieter die GDPR zwar nicht völlig egal ist, aber auch nicht gerade eine Herzensangelegenheit. WordPress im derzeitigen Auslieferungszustand ist ab 25. Mai mit hoher Wahrscheinlichkeit illegal, allein schon wegen der Emoji-Calls zu Akismet. Ob man wp.com Gratisblogs überhaupt noch verwenden kann, ist ebenfalls sehr zweifelhaft.

      Es ist eine unangenehme Übergangsphase, aber auf mittelfristige Sicht betrachtet ein erster und wichtiger Schritt in der Durchsetzung von Rechten, die großteils eh schon länger so bestehen, aber bislang eben zahnlos und nur am Papier. Nur blöderweise sind halt leider (Hobby) Blogger ganz besonders stark betroffen. Ich finde es sehr schade, dass manche deshalb aufhören wollen… leider müssen wir da wohl durch.

      • Carolin
        Carolin sagte:

        „WordPress im derzeitigen Auslieferungszustand ist ab 25. Mai mit hoher Wahrscheinlichkeit illegal“

        *kreisch*
        Meinst du, bei WordPress 5.0 ändert sich das? Soll ja auch im Frühjahr noch kommen.

        • Ritchie Pettauer
          Ritchie Pettauer sagte:

          Ich fürchte, in dieser Hinsicht wird sich nix ändern… maximal ein Europe-Plugin, das eine Menge (an sich nützlicher und sinnvoller Features) abdreht. Mindestens:

          * Emojis
          * Gravatar-Bildchen
          * Akismet

          Weil alle diese Services Daten an Auttomatic übertragen. Und hier wird und kann es keine Lösung mit einem Feigenblatt-Vertrag geben… Auttomatic würd sich ordentlich in den Fuß schießen, wenn sie das täten. WordPress ist ja eben kein kommerzielles Produkt, sondern Open Source Software – das wär rechtlich ein Wahnsinn, dafür GDPR-Haftung zu übernehmen.

          Je länger und intensiver ich mich mit dem Thema befasse, desto mehr wird mir die Komplexität bewusst – und dass viele Details wohl dann erst in der Praxis zu klären sind. Und dann steht die ePrivacy Richtlinie ja auch noch vor der Tür – wenn die in derselben Intenstität umgesetzt wird, können wir uns von Cookies und Tracking-System und jeglichen Auswertungen ganz verabschieden. *pessimism mode off* Aber es wird sich schon einpendeln. Ich lass mich nicht davon entmutigen, dass sich die Amis schon lauthals über Europa, das sich noch weiter ins Digital-Out schießt, lustig machen…

  13. Maike
    Maike sagte:

    Hallo! Danke für den tollen Artikel – eine sehr gute und hilfreiche Zusammenfassung :-) Wir überlegen gerade, ob wir ein Live Chat Plugin installieren. Leider habe ich hierzu bis her sehr wenige Informationen zum Thema DGSVO im Netz gefunden. Kannst Du schon etwas zu den Plugins sagen, die Du getestet hast?
    Vielen Dank!
    Maike

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Maike, danke für das Lob! Ich bin bisher noch am Testen… die zwei brauchbarsten (die keine 3rd Party Services) verwenden scheinen mir FluentChat und AwesomeChat zu sein. Zweiteres teste ich gerade. Da gibt’s zwar auch keine Checkbox, aber man kann zumindest einen Texthinweis einfügen. Wenn ich mit dem Testen fertig bin, werd ich einen Erfahrungsbericht online stellen.

  14. Susanne
    Susanne sagte:

    Wie ist es denn wenn der Domaininhaber und Besitzer des Webspace nicht die gleiche Person ist, die im Impressum steht? Wer muss denn dann die Verträge mit Google und dem Hoster abschließen?

  15. Ritchie Pettauer
    Ritchie Pettauer sagte:

    Update 16.3.2018: Ich habe die Checkliste um weitere Punkte ergänzt, unter anderem:

    * Deaktivierung von Remote Emojis
    * DV-Vertrag mit dem Hoster
    * Gravatar Bilder

    Außerdem finden Sie nun am Ende des Beitrags nützliche DSGVO Links.

  16. Stefanie
    Stefanie sagte:

    Hallo Ritchie,

    vielen Dank für die Checkliste! Das ist ja Wahnsinn, ich fange gerade erst an mit meiner eigenen Webseite und dachte, ich hätte soweit jetzt alles abgedeckt. Dank deiner Liste weiß ich nun, dass ich weiterhin mit einem Bein im Knast stehe und Google einen Brief schicken muss (unter anderem). Ich bin wirklich gespannt, wo die Reise mit diesem Thema noch hingeht.

    Nochmals vielen Dank, du hast mir sehr geholfen!
    Stefanie

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Stefanie, danke für das nette Feedback! Und mir geht es übrigens genauso – je länger ich mit dem Thema beschäftige, desto mehr Baustellen tauchen auf – ich hab bisher noch keine Beitrag so oft upgedatet wie diesen hier.

  17. tim
    tim sagte:

    Ein guter Anfang ist, wenn man sich https://www.wirspeichernnicht.de/ anschließt. Die Initiative macht sich stark dafür, dass überhaupt keine IP-Adressen gespeichert werden zum Schutze der User und stell dafür auch Anleitungen zur Verfügung. Wenn man erst mal alle Thirdparty-Tools (verschiedene Like-Buttons die nicht „zwei Klicks für mehr Privatssphäre“ oder auf Dinge wie den shariff setzen, analytics tools, etc.) eliminiert hat muss man sich dann nur noch um die Dinge auf dem eigenen Server kümmern, die dort beschrieben werden.
    Wichtig ist bei Webhostern anzufragen welche IP-Logs die erheben und ob sie das deaktivieren können.

    Der Haken „Zustimmung zur Datenspeicherung lt. DSGVO“ unter diesem Kommentar dürfte übrigens ungültig sein, weil die Verordnung explizit sagt, dass die Einwilligung des Users zum Speicher von nicht absolut notwendigen Daten nicht zur Voraussetzung für Teilnahme gemacht werden darf. D.h. Facebook darf demnächst nicht mehr auf Realnamen bestehen und dieser Blog darf nicht mehr die IP-Adresse länger als technisch notwendig speichern. In dem Sinne bekommt ihr mal euren Haken noch ;-).

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Tim,

      über wirspeichernnicht.de kann ich nichts sagen, weil die Webseite gerade nicht erreichbar ist. Eine Initative, die sich „dafür stark macht, dass überhaupt keine IP Adressen gespeichert werden“, klingt für mich allerdings unfassbar realitätsfremd. Warum nicht gleich „Wir schalten das Internet ab“? Das http Protokoll beruht nun mal auf IP-Adressen… es gibt berechtigte Interessen, die der Speicherung von IP-Adressen ganz gravierend entgegen stehen. Oder denken Sie ernsthaft, die DSGVO macht Block-Blacklisten bei IP-Floods illegal? Ich hoffe nicht.

      Aus ähnlicher Motivation heraus deaktiviere ich hier die Speicherung von IP-Adressen mit Kommentaren nicht. Ich lösche die IP-Adressen nach 12 Monaten aus der DB. Aber ich möchte die Daten im Fall des Falles unbedingt parat haben – dafür gibt es gute Gründe, wenn man keine Registrierung fürs Kommentieren verlangt.

      Der Haken “Zustimmung zur Datenspeicherung lt. DSGVO” unter diesem Kommentar dürfte übrigens ungültig sein, weil die Verordnung explizit sagt, dass die Einwilligung des Users zum Speicher von nicht absolut notwendigen Daten nicht zur Voraussetzung für Teilnahme gemacht werden darf.

      Korrekt, man darf nur absolut notwendige Daten speichern. Ich betrachte die Speicherung der IP als absolut notwendig – aus den oben genannten Gründen. Deswegen verlinke ich im Checkbox-Hinweis auch auf den entsprechenden Passus in meiner Datenschutzerklärung, Sie können die entsprechende Passage hier nachlesen:
      https://datenschmutz.net/datenschutz/#kommentare-von-lesern

      Aber der entscheidende Begriff ist „dürfte“ – es ist momentan in der Tat sehr schwierig abzusehen, wie Gerichte die praktische Ausgestaltung ausjudizieren werden. Rechtssicherheit schaut jedenfalls anders aus.

      @Share Buttons: Shariff wird meiner Ansicht nach gravierend überbewertet, respektive entsteht dieses Missverständnis aus einer Verwechslung von Like- und Share-Buttons. Afaik wird der externe Like-Button schon längst nicht mehr offiziell von FB unterstützt. Und die Sharing Funktionalität lässt sich (mal abgesehen von schwindligen iFrame Lösungen und nicht-gecachten Countern) völlig DS-GVO konform mit nichts weiter als guten, alten a-hrefs umsetzen.

      @Facebook Realnamen: Dazu kann ich mangels Fachkompetenz nicht wirklich was sagen – meinem laienhaften Rechtsverständnis nach macht es aber sehr wohl einen gravierenden Unterschied, ob Nutzer bei der Registrierung eines Dienstes dessen AGBs zustimmen. Und selbst wenn nicht: FB könnte durchaus argumentieren, warum die Angabe des echten Namens eine notwendige Voraussetzung zur Teilnahme ist. Aber damit soll sich Zuck herumschlagen, mich interessieren nur die Implikationen der GDPR auf Blogs ;)

  18. Markus Pirchner
    Markus Pirchner sagte:

    Hallo Ritchie,
    einen Punkt vermisse ich schmerzlich in der ansonsten extrem hilfreichen Zusammenstellung: Wie lässt sich der Einsatz eines Sicherheits-Tools wie WordFence kompatibel mit der DSGVO gestalten? Da werden ja massiv IPs registriert und mit Daten auf den WordFence-Servern abgeglichen. Defiant hat angeblich versprochen, bis zum Stichtag eine GDPR-compliant Lösung fertig zu haben, aber wie die genau aussehen soll, ist noch unklar. Käme mMn einer mittleren Katastrophe gleich, wenn diese Schutzmauer gegen Hacker, Spammer etc. abgeschaltet werden müsste.
    LG und noch einmal danke für die tolle Kompilation.

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hi Markus,

      danke für den Reminder! Du hast vollkommen recht – ich dachte, ich hätte jetzt alles beisammen, aber WF (und ähnliche Systeme) hab ich vollkommen vergessen. In punkto mittlerer Katastrophe bin ich ganz deiner Meinung. Ein Teil der Funktionen wär zwar unkritisch (das Monitoring von möglicherweise fischigen Plugin-Aktionen, Checksums von Core Dateien etc.), aber ohne IP-basierte Filterung wird’s unlustig. Darf man eigentlich überhaupt noch IPs black- oder whitelisten? Ich werd das mal in die ungeklärten Punkte mit aufnehmen.

        • Ritchie Pettauer
          Ritchie Pettauer sagte:

          Heike, danke für den Reminder – an AMP hab ich bisher noch gar nicht gedacht. Die Thematik ist schwierig – weil:

          1. Du kommst im Normalfall nur auf die AMP-Seite, wenn du die Google-Suche am Smart-Device nützt. Sprich, du hast schon bevor die AMP-Seite überhaupt aufgerufen wird, deine IP „sowieso“ an Google übertragen – das konstituiert imho einen Spezialfall.
          2. Dahinter steht die Frage: „Betreibt“ man die AMP-Seite eigentlich selbst oder ist Google der Hoster & Verantwortliche? Meiner Meinung nach fällt der Datenschutz beim Aufruf der AMP-Seite nicht in die Verantwortung des Seitenbetreibers, weil die Seite *komplett* vom CDN kommt und man selbst als Betreiber keine IP-Übertragung beim Aufruf der eigenen URL „enabled“.
          3. Trotzdem besteht zumindest theoretisch die Möglichkeit, dass Nutzer AMP-Seiten direkt aufrufen, z.B. diese hier über den Link –
            was wiederum Juristen beschäftigen könnte.
          4. UND: Die Google Analytics Vertrag gilt explizit NUR für GA und deckt AMP nicht ab.
          5. Natürlich könnte jetzt ein Jurist hergehen und sagen: Ich als Seitenbetreiber ermögliche Google überhaupt erst die Sammlung der IP, weil ich AMP aktiviert habe. Aber diese Argumentation KANN nicht halten, weil dann analog die gesamte Websuche unmöglich DSGVO-konform zu realisieren wäre.

          Spannende Problematik – ich werd das Thema vorerst mal noch nicht bei den „ungelösten Fragen“ eintragen, aber weitere Meinungen dazu einholen.

  19. Max
    Max sagte:

    Hallo Hr. Pettauer,

    ich spiele mit dem Gedanken einen privaten Blog zu betreiben auf dem ich über meine Hobbyfilm-Projekte und div. DIY-Projekte schreibe. Dabei werden auch von mir erstellte Videos und Fotos gepostet -> die Videos sollen über Vimeo eingebaut werden.

    Muss hier beim einbinden von Videos von externen Anbietern auch explizit eine Zustimmung geholt werden? Also zB ein Info-Popup dass der User erst Bestätigen muss um dann erst den Blogeintrag sehen zu dürfen?

    Bin grade am Überlegen ob es für ein Privatprojekt den Aufwand wert ist und ich lieber gleich nur ein Vimeo-Konto betreiben sollte.

    MfG

  20. Heike
    Heike sagte:

    Hallo Ritchie,
    du schreibst irgendwo im Text, dass Du die IPs der Kommentatoren nach 12 Monaten löscht.
    Ich nehme nicht an, dass Du das per Hand machst, eher per SQL-Befehl, oder?
    Wie stellst du denn da ein, dass du nur die alten erwischt?
    Der von dir verlinkte SQL-Befehl löscht alle und nicht nur die älteren IPs und ich bin nicht so fit in diesem Thema, dass ich den Code selbständig erweitern kann…
    Magst du den von dir genutzten Befehl veröffentlichen?

    Vielen Dank schon mal & viele Grüße
    Heike

  21. Horst
    Horst sagte:

    Das ist wirklich eine großartige Zusammenstellung der ganzen Problematik. Als etwas anderes mag ich diesen EU-Wahnsinn nämlich persönlich nicht betrachten. Ich hab ein paar kleine persönliche Blogs, in denen keinerlei Werbung vorkommt, die Google-Analytics-frei sind. Aber alle greifen auf Google Fonts zu. Speichern, weils ja WordPress ist die IP’s zu den (wenn vorhandenen) Kommentaren. Die Emojs und eingebettete Karten, Videos etc. sind vorhanden. Und so weiter.

    Eigentlich ist es doch so, dass man nach dem Termin mal alle Themes, die man vielleicht irgendwo gebunkert hat (Themeforest etc.) in die Tonne treten kann, weil die Autoren vermutlich die spezifisch europäischen Vorgaben überwiegend nicht umsetzen. Ich mag mich irren. Dazu zähle ich auch alle „kritischen“ Plugins, die mit irgendwelchen verbotenen Daten hantieren. Wer kann als unbedarfter User schon feststellen, welche Plugins welche Daten nach Hause schicken? Ich nicht.
    Was nur am Rande behandelt wird, ist die Frage, die bestimmt ganz viele kleine Blogger wie ich haben: Gilt das denn auch für einen Blog, der nichts anderes als Texte, Bilder, Videos postet und der keinerlei Werbeeinnahmen oder Kooperationen verzeichnet?
    Ich klicke jetzt hier mal „Zustimmung ….“, obwohl ich nicht die Hälfte all der Dinge, die vorher im Text vorkommen, verstanden habe.
    Ich möchte ungern politisch werden. Aber die Anwälte, die sich diesen Mist ausgedacht haben, sind bei der EU wirklich richtig.

    Jetzt hab ich genug geschimpft. Nochmals herzlichen Dank für die tolle Arbeit, die in dieses Projekt investiert wurde. Die Bloggergemeinde wird es zu schätzen wissen.

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Horst, vielen Dank für das Lob! Was „alte“ Themes und Plugins betrifft (oder generell auch neue, deren US-Programmierern die GDPR einfach egal ist), wird man enorm viel ausmisten müssen, da irrst du dich garantiert nicht. Und wer hat schon Zeit, ein paar 1000 Unterseiten manuell mit Ghostery zu durchleuchten? (Könnte ja sein, dass irgendwo noch ein alter Werbe-Code rumhängt).

      Kleine Blogs sind raus, wenn die Betreiber 100ig argumentieren können, dass es sich um private Projekte handelt… sofern es keinerlei Koops oder Unternehmens-Inhalte gibt, müsste das auf jeden Fall durchgehen. Das Kriterium für gewerblich sind aber keinesfalls nur die Einnahmen, es darf wirklich *keinerlei* Inhalte, die man irgendwie als werblich klassifizieren könnte, geben.

  22. anonym
    anonym sagte:

    Hey Ritchie, irgendwie ist das -fuer- aus der URL verschwunden wodurch jetzt einige Links auf deine Seite (auch Link in deinem eigenen Kommentar vom 21.03.2018 um 20:40 ) ins Leere laufen („Seite nicht gefunden“).

  23. Tina Gallinaro
    Tina Gallinaro sagte:

    Hi Ritchie,
    nun wird es auch einmal für mich Zeit, dir für diesen sehr ausführlichen Beitrag zu bedanken.
    Wahnsinn, wie viel Mühe du dir da gemacht hast.
    Zur Zeit ändere ich auch sehr viel in meinem Blog, werfe die eingebettenen Postings von FB, Twitter und Co . raus, entferne die YouTube Videos und ersetze diese durch Bilder, die dann auf das jeweilige Posting oder zum jeweiligen Link führen.
    Die Hälfte von meinem Blog habe ich schon abgearbeitet ;-) Durch die Chrome Erweiterung Ghostery kann ich quasi nachvollziehen, von welcher Stelle aus getrackt wird. Demnach habe ich gestern auch Google Analytics den Laufpass gegeben. In 35 Tagen wird mein Analytics Konto endgültig gelöscht. Hab das Ganze eh nie so richtig verstanden :-)

    Richtige Bauchschmerzen bekomme ich aber noch wegen dem Plugin mit der Checkbox für die Kommentare. Ich hatte das WP GDPR Compliance Plugin empfohlen bekommen, dieses scheint sich aber nicht mit meinem Theme zu vertragen, denn die „Checkbox“ wurde in voller Breite angezeigt (kein kleines Kästchen) – eine passende Lösung per CSS vorerst nicht in Sicht, weil sich die Entwickler in Schweigen hüllen :-( Ich habe Google auch schon halb leer gesucht, alles was ich dazu entdecken konnte, dass viele Anwender ein anderes Theme genommen haben – und dann funktioniert es. Komischerweise funktioniert es auf meinem privaten Blog..
    Nun, bei dir entdecke ich nun das andere WP GDPR Plugin https://wordpress.org/plugins/wp-gdpr-core/. Demnach ist es eine Besserung zu dem anderen Plugin, oder was was meinst du dazu? Und – was mache ich, wenn dieses Plugin ebenfalls nicht das tut, was es eigentlich soll: Nämlich eine kleine Checkbox zum anklicken anzeigen. Gäbe es dann noch eine weitere Alternative, außer mir ein neues Theme zuzulegen?
    LG Tina

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Tina, dankeschön! Ja, das ist ein bisschen ausgeufert :) Wenn du nicht wirklich mit Analytics arbeitest, macht’s sowieso Sinn, den Code zu entfernen. Es gibt ja auch ganz nette lokale Alternativen – und in Wahrheit braucht eh kaum ein Webmaster diese ganzen Datengebirge, die Analytics aufbaut (oder hat Zeit, sich das alles im Detail anzusehen).

      Zur Checkbox: Gute Nachrichten! Die Funktionalität wird vermutlich in den WordPress Core integriert, dann bräuchtest du gar kein Plugin mehr dafür. Wird aber noch ein paar Wochen dauern:
      https://datenschmutz.net/dsgvo-update-wordpress-core/

      Ansonsten würd ich auf jeden Fall GDPR-Core emfehlen – die sind auch super-flink beim Beantworten von Support-Anfragen und ich find dieses Plugin generell besser, auch wegen des integrierten Lösch-Anfragen-Interfaces. Aber ich bin nicht ganz unparteiisch, hab die deutsche Übersetzung dafür gemacht :)

      Das Problem liegt vermutlich daran, dass das Kommentar-Formular aus der functions.php heraus generiert wird, und die ist Theme-abhängig. Aber wie gesagt, bis zum 25. kann WP vermutlich die Checkbox schon selbst einfügen.

  24. Alex
    Alex sagte:

    Hallo,
    vielen Dank erstmal für diese großartigen Tipps.
    Ich betreibe bei wordpress.org eine Website, die ich bei united-domains hoste. Neben Google Analytics (werde ich abschalten) & Google Fonts (wird intern eingebunden) habe ich relativ wenige Dinge auf der Seite die mir Bedenken machen. Auf einer Seite befindet sich jedoch ein Gästebuch (gwolle Plugin) wo Name & Website angegeben werden können. Muss ich deswegen, oder vielleicht aus anderen Gründen, die mir bisher nicht klar sind, einen Datenverarbeitungs-Vertrag abschließen und ein Verfahrensverzeichnis anlegen?

    Grüße,
    Alex

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hi Alex, danke für das nette Feedback!

      Zu deiner Frage: Soweit ich das verstanden habe, wird beim Betrieb einer (kommerziellen) Webseite quasi zwangsläufig ein Verarbeitungsverzeichnis fällig – sozusagen unabhängig davon, was auf der Seite tatsächlich passiert. (Persönliche Meinung: Und um im Zweifelsfall belegen zu können, dass mit den Daten „nix Böses“ passiert.) Und schon allein die Existenz von Server-Logs dürfte dazu ausreichen, dass man mit dem Hoster ein DVA abschließen muss.

      Das gwolle Plugin kenn ich nicht, ich hab’s mir gerade im Repository angesehen. Der Autor dürfte die Software recht gut betreuen – meinem Verständnis nach müsstest du auch bei einem solchen Gästebuch ab 25.5. eine zusätzliche Einwilligungs-Checkbox einbauen, analog zu Kommentaren. Im Zweifelsfall würd ich mal im Support Forum nachfragen.

  25. Winfried
    Winfried sagte:

    Hallo Ritchie,

    schönen Dank für die vielen Informationen. Je mehr ich lese, umso schwieriger erscheint mir das neue Gesetz umzusetzen.

    Deshalb eine Frage:
    Du schreibst zur
    „…Vorbeugung vor automatisierten Abmahn-Wellen möchte ich Ihnen an dieser Stelle zusätzlich ans Herz legen: Stellen Sie Ihre Datenschutz-Erklärung auf „noindex“, sodass sie von Google nicht in der Suche angezeigt wird. “

    Leider versteht ich das nicht, auch wenn es vielleicht ganz banal ist und für Fachleute Schneklkopfen auslöst? Wo stelle ich „noindex“ ein? Auf meinem Blog in der Programmierung? In der Datenschutzerklärung? Ist das ein plugin? Und wie geht das bei WordPress? Wie gesagt, vielleicht ganz banale Sache, aber bei mir klingelt da nichts.

    Schönen Dank und
    beste Grüße
    Winfried

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hi Winfried, „noindex“ ist ein Metatag, der Google mitteile, dass eine Seite nicht indexiert werden soll. Das stellst du in deinem SEO-Plugin ein, z.B. wpseo oder Yoast. Das verhindert, dass Bots, die nach bestimmten Formulierungen im Google-Index suchen, die eigenen Seite auf diesem Weg finden.

      • Winfried
        Winfried sagte:

        Hallo Ritchie,

        bedankt!!! Hab ich nun installiert und ausgeführt.
        Und dann bitte noch die Frage. Wie hast du dein Kommentarfeld mit Zustimmung l. DSGVO, neue Kommentare abonnieren usw. erstellt. Da gibt es sicher auch ein Plug in für?
        Herzliche Grüße und tausend Dank für die vielen Infos und Deinen Einsatz!
        Winfried

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Ja, auf jeden Fall – die Dokumente unter deinem Link sind wirklich gut aufbereitet. Zur 10-Personen-Thematik kann ich nichts sagen, außer, dass das so in der DSGVO nicht drinsteht. Da ist das Kriterium der primäre Unternehmenszweck.

  26. Jan
    Jan sagte:

    Was ist eigentlich, wenn sich die „betroffene Person“ außerhalb der EU befindet? Darf eine deutsche Webseite personalisierte Werbung an z.B. einen Amerikaner ohne dessen Einwilligung ausliefern?

    Wenn nicht, dann wären alle nicht-europäischen Publisher im Vorteil gegenüber ihren EU-Kollegen.

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Das ist eine gute Frage… aber tendenziell eher nein, weil: Du müsstest ja dein Angebot von vornherein trennen können und schon beim Aufruf der Seite wissen, ob sich jemand inner- oder außerhalb der EU befindet. Ich vermute mal, dass Geo-Splitting aufgrund der IP zu riskant wäre bzw. man damit eine Abmahnung riskieren könnte. Theoretisch gilt die DSGVO ja sehr wohl für ausländische Publisher, deren Webseiten sich an eine europäisches Publikum richten. In der Praxis wird’s aber wohl auf eine starke Benachteiligung europäischer Publisher rauslaufen.

  27. Veronika Vetter
    Veronika Vetter sagte:

    Hallo, ich kann mir kaum vorstellen, dass die obige Checkliste für Blogger gilt. Sonst würde Lieschen Müller mit ihrem Katzenblog gleichgestellt mit Facebook & Co.

    Außerdem wundere ich mich wieder einmal über den vorauseilenden Gehorsam der Deutschen. Konnte ich als Bürger der BRD irgendwann darüber abstimmen, ob ich das DSGVO befürworte? Wenn ja, wann und wie? Oder wurde die Verordnung wieder einmal von EU-Lobbyisten geschrieben, um das Leben von unabhängigen Nachrichtenquellen zu erschweren?

    Es betrifft mich persönlich nicht wirklich, ich frage ja nur. Denn es ist wirklich lustig, wie viel Hinweisbanner auf deutschen Webseiten leuchten, die vielleicht 20 Aufrufe am Tag haben.

    Es scheint, dass die Deutschen mittlerweile völlig degeneriert sind und wie die Amerikaner für alles ein Hinweisfenster benötigen: „Rauchen kann tatsächlich gefährlich sein“, „Der Inhalt in diesem Kaffeebecher ist heiß“, „Wer im Internet surft gibt Daten von sich Preis und wählt dadurch Donald Trump“ …

    Abschließend noch eine Frage an den Webmaster dieser schönen Seite:
    Wenn ich auf Spiegel-Online surfe, erscheint bei mir kein Hinweisbanner darüber, dass die Seite Cookies verwendet. Wenn ich dort einen Kommentar schreibe, dann muss ich auch nicht zustimmen, dass meine Daten lt. DSGVO gespeichert werden. Ich logge mich einfach mit meinen Facebook-Daten bei SPON ein und kann sofort kommentieren. Merken Sie was?

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Liebe Frau Vetter,

      ich verstehe Ihren Ärger durchaus, allerdings gilt die DSGVO für Liesche Müller und ihr Katzenblog tatsächlich – und zwar dann, wenn Lieschen Müller auch ab und an mal Katzenprodukte testet und/oder auch nur einen einzigen Werbebanner auf ihrer Seite hat. Nur tatsächlich private (nicht im Sinne von nicht-öffentliche, sondern nicht-kommerzielle) Webseiten sind ausgenommen.

      Konnte ich als Bürger der BRD irgendwann darüber abstimmen, ob ich das DSGVO befürworte?

      Die EU ist nicht die Schweiz :) In einer repräsentativen Demokratie wird man sich durchaus an Gesetze halten müssen, die man nicht selbst mitbeschlossen hat. Und was den vorauseilenden Gehorsam betrifft: Ich fand und finde den vorgeschriebenen Banner-Hinweis lächerlich und wirkungslos – hier wird die ePrivacy Richtlinie ab 2019 nachbessern. Aber die DSGVO sehe ich als Versuch, Online-Business auf eine solide, nachvollziehbare Grundlage zu stellen. Eigentlich ein längst überfälliger Schritt. Diese Hinweise sind ja nur ein Teil der Gesamtbildes. Sich darüber Gedanken machen zu müssen, ob und an welchen Stellen Daten an Dritte weitergegeben werden, ist an sich eine sinnvolle Sache.

      Zu Spon: Ja, Sie da haben Sie völlig recht – kein Cookie-Hinweis und 21 Tracker:

      Spon Tracker

      Würde mich sehr überraschen, wenn Spon bis zum 25. Mai nichts an der Seite ändert – die DSGVO gilt ja noch gar nicht. Ich bin hier bloß am Experimentieren, wie man die Änderungen am sinnvollsten implementieren kann. Das Facebook-Login ist meiner Ansicht nach übrigens ein Sonderfall und erfordert keine Zustimmung (die haben Sie ja schon mit der FB-Registrierung gegeben).

  28. Chris
    Chris sagte:

    Hallo Ritchie, danke für diesen Artikel. Der hat mir bisher bei dieser Sache am besten weitergeholfen. Ich habe ihn auch schon weiter empfohlen. Super Sache! Echt! Aber eine kleine Frage hätte ich noch: Ich habe vor einigen Jahren mit Google bereits einen Vertrag wegen Google Analytics abgeschlossen. Muss ich das jetzt wegen der DSGVO nochmal machen, weil der Vertrag neue/geänderte Bestandteile hat? Weißt du das? Schöne Grüße :-)

  29. Raphael
    Raphael sagte:

    Danke für die wirklich interessante Zusammenstellung. Eine Sache, die ich derzeit nicht verstehe, die mich aber meine Kunden garantiert fragen werden (ich bin Webdesigner): Was mache ich -z. B- als Betreiber einer Zahnarztwebseite – wenn mich jemand anschreibt und „seine“ Daten gelöscht haben will.

    Ich gehe davon aus, dass 99,99% der kleinen Webseitenbetreiber nicht im geringsten die Tools und das technische Know-How für das Thema haben. Wie soll also jemand, der wirklich andere Sorgen hat (z. B. besagter Zahnarzt) mit so einer Frage umgehen?

    Und wie stelle ich – als Webdesigner – wiederum dem besagten Zahnarzt ein Verarbeitungsverzeichnis zur Verfügung? Das kann ich ja nicht für jeden Kunden coden, da muss es doch fertige Lösungen geben, die man per plug&play installiert und das war es dann auch.

    Das würde mich beides sehr interessieren, ich denke, da bin ich nicht der Einzige, der sich so etwas fragt.

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Raphael, danke für das Lob! Zur Datenlöschung: Die lässt sich nicht so ohne weiteres in eine Standard-Lösung packen, weil die Implementierungen einfach zu unterschiedlich sind. Man wird nicht drum herumkommen, in jedem Einzelfall festzustellen, wo Daten gespeichert werden (das kann ja schon bei einem simplen Formular ausarten – stehen die Daten in der DB, wird eine E-Mail verschickt, wie wird das E-Mail weiterverareitet, hat der Zahnarzt eine digitale Patientenkartei, wie ist die Anbindung etc.)

      Was WordPress betrifft, lässt sich die Löschung/Anonymisierung von Kommentar-Daten relativ einfach via Plugin bewerkstelligen. Für alle weiteren Onsite-Speicher-Szenarien implementiere die Entwickler gerade einen neuen „Privacy Layer“ mit entsprechenden Hooks. Das Problem dabei: Plugin-Autoren müssten ihre Software entsprechend anpassen, und das werden bei weitem nicht alle tun.

      Das Verarbeitungsverzeichnis kannst du als Webdesigner deinem Kunden gar nicht zur Verfügung stellen – du weißt ja in der Regel nicht, was „außerhalb“ der Seite weiter mit den Daten passiert. Du könntest lediglich den Webseiten-Teil abdecken und dem Kunden die Informationen für die Onsite-Speicherungen als Teil des Verabeitungsverzeichnisses liefern.

      • Raphael
        Raphael sagte:

        Hallo Ritchie,
        danke für die Antwort. Ich möchte nochmals auf mein Szenario zurückkommen: Die simple Zahaztseite. Das bedeutet doch in der Praxis, dass in Zukunft jeder Kunde, der z. B. unzufrieden ist, eine Firma mit Löschanträgen nerven kann. Gut organisiert kann man ja sogar Konkurrenten damit in den Ruin treiben. Wenn es kein Standardprocedere gibt, sondern jeder Fall manuell untersucht werden muss, entsteht ja pro Löschantrag ein Aufwand, der in keinem Verhältnis zum Ergebnis steht. Das kann ja wohl nicht Sinn der DSGVO sein.

        • Ritchie Pettauer
          Ritchie Pettauer sagte:

          Ja, aber genau das ist der Fall. Wobei der Aufwand ja nicht sooo hoch sein sollte: Auch der Zahnarzt, der wenig mit IT am Hut hat, sollte doch wissen, wo er seine Patientendaten gespeichert hat. Wobei da zumindest in Österreich die elektronische Krankenakte ebenfalls reinspielen dürfte, und eventuell stehen im Fall eines Arztes auch andere Aufbewahrungsrechte der sofortigen Löschung gegenüber.

  30. Gartenblogger Hanns
    Gartenblogger Hanns sagte:

    Hallo,

    danke für die sehr informative Seite.
    Zum Plugin Antispam-Bee:
    Da gibt es auch das Häckchen bei: IP-Adresse des Kommentators validieren.
    Möglicherweise am besten auch deaktivieren?

    Noch ein Hinweis: ich bin mit dem IE 11 unterwegs.
    Da wird dein Hinweis „Durch das Anhaken der folgenden Checkbox erlaube ich …“ quer über das Kommentarfeld als Transparenter Overlay gelegt. Dadurch sind auch die Folgenden Feldbezeichnungen fas nicht erkennbar. Evtl. nicht so beabsichtigt!?
    Wenn du magst, schicke ich dir einen Screenshot.

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Hanns, ich hab nochmal nachgeschaut – diese Funktion macht lediglich DNS-Abfragen. (Quelle: http://torstenlandsiedel.de/2016/06/27/antispam-bee-richtig-konfigurieren/)

      Die IP-Adresse des Kommmentators validieren ist wieder so eine kryptische Funktion. Die Funktion nimmt die IP-Adresse des Kommentators und löst sie zu einem Hostnamen auf, dann nimmt sie diesen Hostnamen und löst diesen wiederum zu einer IP-Adresse auf. Am Ende wird verglichen, ob die zu diesem Host gemeldete IP mit der ursprünglichen IP übereinstimmt. Die Idee wäre großartig, wenn es da nicht Techniken wie Load Balancer gäbe, die zu einem Hostnamen mehrere IP-Adressen (aka Rechner) haben, auf die sie Last der Anfragen verteilen. Da kann es passieren, dass unterschiedliche IPs ausgegeben werden. Daher diesen Punkt lieber deaktivieren.

      Und danke für den IE-Hinweis, hab ich grad reproduziert… das schaut ja furchtbar aus, ich werd eine CSS-Weiche einbauen.

      UPDATE: Boah. Bin schon lange nicht mehr in die Untiefen des IE CSS hinabgestiegen… falls mal jemand ähnliche Probleme hat – diese CSS-Weiche funktioniert super für IE10/11:

      @media all and (-ms-high-contrast: none), (-ms-high-contrast: active) {
      /* IE10+ CSS styles go here */
      }

  31. Ralph
    Ralph sagte:

    Ich dachte bisher, dass ich mich wirklich gut im Web auskenne, aber gerade diese juristischen Fallstricke sind der Wahnsinn. Wirklich tolle Checkliste. Ich bin seit 1996 im Web aktiv, aber so einen Angriff auf das freie Web gab es m.E. noch nie. Und das unter dem Deckmantel des Datenschutzes :-(.

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Ralph, dankeschön! Ich seh die DSGVO als zweischneidiges Schwert – irgendwas musste da mal passieren. Der problematischste Punkt imho (und dadurch erfolgt auch der Angriff aufs freie Web) ist die völlig falsche Entscheidung, dass IP Adressen persönliche Daten wären. Die sind eben NICHT rückverfolgbar, wenn man nicht zufällig gerade Richter ist. Ohne die IP-Kompomenten wären die infrastrukturellen Auswirkungen ziemlich minimal. Ich hoffe, dass der Gesetzgeber hier nachbessert.

  32. Sandro
    Sandro sagte:

    Hi,

    super Beitrag, danke dafür. Weiß jemand von euch eigentlich, wie es mit Google Charts aussieht? Werden hier vorher Informationen wie IP und Location an Google übertragen? Meiner Meinung nach schon, denn man hat ja die Spracherkennung im Code aufgrund der Herkunft.

    Danke und beste Grüße
    Sandro

  33. Nora
    Nora sagte:

    Hallo,
    ich habe einen Buchblog und bin jetzt etwas überfragt. Ich speichere keine personenbezogene Daten o.ä. Die Verantwortung dafür muss in meinen Augen Google bzw. Blogspot tragen. Ist das korrekt?
    Was ist denn dann für meinen Blog relevant? Es ist nämlich ebenfalls so, dass ich all meine Bilder die ich auf meinem Blog verwende, selbst mache und von Veranstaltungen nur Bilder hochlade, wenn fotografieren erlaubt war.

    Ich wäre dankbar wenn mal jemand schauen würde.

  34. Hendrik
    Hendrik sagte:

    Hallo! Eigentlich hat man ja schon gar keine Lust mehr auf’s Bloggen, wenn man sich das lles so durchschaut…
    Den Abschnitt zu Gravatar verstehe ich nicht. Einerseits wird die Mail gehasht, andererseits sei aber gerade das das Problem. Außerdem kann ich die Funktion deaktivieren aber Du machst das nicht, sondern weist auf den Umstand hin? Ich komme da nicht mit.

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Hendrik, ich hab den Hinweis rausgenommen – das Problem ist nicht nur, dass man die gehashten Werte Seiten-übergreifend tracken kann, sondern eben auch, dass die IP des Nutzers zu den Gravatar-Servern übertragen wird. Ich mag die Bildchen wirklich gern & werd sie vermissen, aber zum 25.5. dann abdrehen. Es gibt auch keinen Ersatz – weil lokale Avatare ja eine Registrierung voraussetzen.

  35. Tim Kaufmann
    Tim Kaufmann sagte:

    Also ich bin sehr zwiegespalten bei dieser Liste. Auf der einen Seite enthält sie viele wichtige Punkte. Sie geben Anlass darüber nachzudenken, ob man das jeweilige Feature wirklich braucht, führen vielleicht zu einer gewissen Datensparsamkeit und das ist ja einer der Zwecke der DSGVO. Was mir aber gar nicht gefällt ist der Eindruck, der sich beim Lesen aufdrängt: nämlich dass vieles „verboten“ ist.

    Grundsätzlich sagt die DSGVO: das Speichern von Daten ist grundsätzlich verboten, es sei denn es ist erlaubt. Dann führt sie einige Erlaubnistatbestände ein. Einer davon ist der des berechtigten Interesses. Beispiel Gravatar: wenn ich dokumentiere, dass ich das einsetze, um mein Blog besser lesbar zu machen, damit die Attraktivität und die Besucherzahlen zu steigern und dass das mein berechtigtes Interesse ist, dann kann das durchaus in der bisherigen Form in Ordnung sein, sofern man das Prozedere in der Datenschutzerklärung dokumentiert. So ist das an vielen Stellen. Das Entscheidende an diesem Erlaubnistatbestand ist die Gegenprüfung: kann die betroffene Person (also: unsere Besucher) die Verarbeitung vernünftigerweise erwarten? Wenn ja, dann ist die Verarbeitung ok. Und auch da sage ich: das kann man in den meisten Fällen mit „Ja“ beantworten. Schaut euch doch an, wie gängig Gravatare (und viele andere Features, wie zum Beispiel euch Embeds) sind, da kann man ja nicht plötzlich sagen, dass man beim Besuch einer Website nicht mit sowas rechnen konnte.

    Zum Weiterlesen empfehle ich die Datenschutzerklärung wie sie e-recht24 erstellt. Da kann man in vielen Passagen nachlesen, wie berechtigtes Interesse für einzelne Features dokumentiert werden kann.

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Grundsätzlich hast du ja recht. Aber was wirklich als „berechtigtes Interesse“ gilt, werden wir erst in ein paar Wochen wissen – ich neige da durchaus zur Vorsicht. Gerade im Fall von Gravatar kann ich mir schwer vorstellen, dass das Argument hält – die betroffene Person kann kaum erwarten, dass ihre IP an Auttomatic Server übertragen wird, speziell dann nicht, wenn sie vielleicht überhaupt keinen Gravatar nutzt. Das Problem ist: Es gibt hier kein Opt-Out (und keinen DVV). Den Generator von e-recht24 kenn ich nicht. Wenn ich schon bezahle, dann aber lieber gleich für eine angepasste Erklärung von Anwalt und nicht für ein paar Textbausteine.

      • Scotty1928
        Scotty1928 sagte:

        Ich halte die Nutzung von Gravatar weiterhin für problemlos machbar. Kommentieren an sich ist bereits ein Opt-In, und wenn dann da noch die Checkbox mit Hinweis(link) ist… Warum nicht? Man hat ja den Gravatar selbst erstellt.

        • Ritchie Pettauer
          Ritchie Pettauer sagte:

          Das wäre an sich ja kein Problem, aber die Sachlage ist komplexer: Egal, ob du einen Gravatar erstellt hast oder nicht – wenn die Funktion aktiv ist, dann fragt WordPress bei Auttomatic nach, ob’s zu der eingegebenen E-Mail einen Gravatar gibt. Da steckt keine böse Absicht dahinter, anders könnte das System ohne Login ja auch gar nicht funktionieren. Das heißt, es gibt kein vorgelagertes Opt-In und damit keine Möglichkeit, für Webseiten-Besucher zu sagen: „Ich will nicht, dass ihr meine Adresse an Auttomatic schickt.“ Das widerspricht klar der DSGVO, die ja nicht zwischen den Guten, den Bösen und den Zwielichtigen unterscheidet… um Gravatar konform einsetzen zu können, müsste man entweder ein Opt-In vorschalten oder eben „berechtigtes Interesse“ argumentieren. Aber ob das in der Praxis durchgeht, steht dann wiederum in den (Jus)Sternen.

  36. Barbara
    Barbara sagte:

    Vielen lieben Dank für diese sehr hilfreiche Checkliste! Ich habe anhand der Liste schon einiges abgearbeitet. Wobei ich mir noch unschlüssig bin, ist die Einbindung von Google Maps. Statt der bisherigen Map könnte ich ja einen Screenschot einbinden mit Link zu Google Maps – aber darf man das? Hast du da genauere Infos oder sonstige Ideen? openstreetmap ist ja datenschutzrechtlich wohl auch keine Alternative.
    Herzliche Grüße, Barbara

  37. Carolin
    Carolin sagte:

    Hallo Ritchie,
    Social Warfare schrieb mir
    „Social Warfare doesn’t collect, store, or send information about your visitors until they’ve physically clicked the share button.“
    Wäre es dann ok, es weiter zu nutzen, eventuall mit Hinweis? Es geht doch darum, dass Webseitenbesucher zur Datennutzung aktiv einwilligen, was sich mit dem Anklicken ja tun.

    Leider fehlt mir das Fachwissen, juristisch und technisch, um selbst genau zu wissen, was ich DSGVO-konform nutzen kann und was nicht.

    Beste Grüße

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hi Carolin, danke für die Info – ich hab von Social Warfare noch immer nix zurückbekommen. Grundsätzlich entspricht die Antwort eh dem, was ich erwartet habe. Grundsätzlich dürfte der aktive Klick meinem Verständnis nach durchwegs als „Einverständnis“ ausreichen – macht Shariff ja auch nicht anders. Und die Counters werden gecached. Ich seh eigentlich keinen Grund, der gegen Social Warfare spräche… hoffe, das bleibt so.

      Wobei ich auch von anderen Plugin-Programmierern ähnliche Standardantwort bekommen habe, die nach eigener Überprüfung allerdings nicht unbedingt den Tatsachen entsprechen. Die Crux liegt ja in der Formulierung „Das Plugin speichert keine Userdaten“; dass oft trotzdem im Hintergrund auf CDN Server von Dritten zugegriffen wird, lässt man dann halt gerne mal unter den Tisch fallen…

  38. Frank
    Frank sagte:

    Ich werde wohl meinen Blog einfach einen Tag vor dem Termin abschalten. Es ist einfach eine zusätzliche Belastung für mich, auf die ich keine Lust habe. Ich sehe es auch nicht ein, warum es mir als europäischer Mitbürger künstlich schwer gemacht wird Informationen im Internet bereitzustellen.

    • mike
      mike sagte:

      Einfach alles überregulieren. Die Großen können jetzt die Konkurrenz, die enstehen könnte schon im Keim ersticken.
      Die Großen werden damit keine Probleme haben. Der Einmannbetrieb, kleine Handwerker usw. aber schon.
      Auftragsdatenverarbeitung mit Hostern wenn man eine Homepage hat.
      Typischer Fall von „gut gemeint“ und die Kleinen gut weggebombt.
      Alles nur weil solche vereine wie Facebook alles ausgelotet haben was geht und schon zig mal absolut verwerfliche Dinger gestartet haben.

      • Michael
        Michael sagte:

        Ich habe heute auch all meine Seiten abgeschaltet. Blog, kostenlose Service Seiten, ehrenamtlich gepflegte Kita Seiten (2j. Schade.

        Das Ende des Internets für den Datenaustausch von kleinen Bloggern.

  39. Webdesign Magdeburg
    Webdesign Magdeburg sagte:

    Ich habe keine Lust mehr…..
    Seit Jahren arbeite ich im Netz. Habe aktuell etwa 30 Seiten online. Blogs , Shops und staatische Seiten. Wenn ich mir überlge, diese alle anzupassen, sitze ich mindestesn ein Jahr daran, keine Lust dazu !!!!
    Ich werde so wie es aussieht alles platt machen und verkaufen und nur noch meine Hauptdfomain behalten, alles andere strengt mich zu sehr an und liegt nicht in der Relation zum Gewinn.

    Wie sieht es eigentlich mit Google Adsense aus, muss da auch reagiert werden ?

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Ein paar alte Seiten, um die ich mich eh schon länger nicht mehr gekümmert hab, werd ich ebenfalls abschalten bzw. hinter htaccess Logins legen. Aber die werden weder mir noch sonst wem fehlen :)

      Zu AdSense hab ich am Google Watchblog folgende Information gefunden:

      Als Betreiber des weltweit größten Werbenetzwerks hat Google nun angekündigt, dass man die Verantwortung zur Befragung der Nutzer auf die eigenen AdSense-Kunden abwälzen wird. Die Webmaster werden dafür sorgen müssen, dass die Surfer der personenbezogenen Werbung zustimmen oder eben nicht zustimmen werden. Wichtig ist aber, dass sie vorher gefragt werden. Sollten sie zustimmen, bleibt alles beim alten. Stimmen sie nicht zu, liefert das Google Werbenetzwerk nur noch „neutrale“ Banner ohne Bezug zum Surfer aus.

      Wie das technisch genau im Detail funktioniert, kann ich mir nicht vorstellen – letztendlich dürften ja auch bei der neutralen Werbung keinerlei Trackingpixel enthalten sein… ein leidiges Thema, mit dem ich nicht im Detail herumschlagen werd müssen, weil ich kein AdSense verwende (und meine Kunden ebenfalls nicht.)

        • Ritchie Pettauer
          Ritchie Pettauer sagte:

          Ja, grundsätzlich liegt der Fokus auf jeder Art der Datenübertragung, bei der der Nutzer vorher nicht zugestimmt hat. Bei Amazon Textlinks sehe ich überhaupt kein Problem. Allerdings liefert die API auch Fotos (einer der Hauptvorteile bzw. Gründe, die API zu nutzen, abgesehen von der Daten-Aktualität). Diese Bilder liegen aber auf CDN-Servern von Amazon, sodass hier die IP-Adresse des Nutzers beim Laden mitübertragen wird.

  40. Hendrik
    Hendrik sagte:

    Danke für den Beitrag!
    Für mich relevant ist in erster Linie alles um die Kommentarfunktion. Hier sind bei mir aktuell nur Name und Kommentar obligatorisch. Der Nutzer kann aber auch eMail und Website eingeben. IP wird nicht gespeichert. Nur noch ein Timestamp. Das würde ich gerne auch so lassen, aber: Wie kann denn jemand nachweisen, dass er seinen Kommentar löschen lassen möchte, wenn ich keine eMailAdresse als Beweis habe. Hat hier jemand ne Idee? Muss ich die doch auch immer abfragen? Vor dem Hintergrund der Datensparsamkjeit ja auch wieder blödsinnig…

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Da, da hasst du völlig recht – da beißt sich die DSGVO-Katze in den Schwanz. Ich wüsste nicht, wie man ohne Angabe einer E-Mail eine Löschung möglich machen sollte… man könnte vielleicht das E-Mail Feld ganz weglassen und den Namen ebenfalls. Oder den Nutzer zustimmen lassen, dass er einen frei erfundenen, nicht zuordenbaren Nicknamen verwenden muss. Aber dann ist halt wiederum auch keine E-Mail-Kommentar-Notification möglich.

  41. Leo
    Leo sagte:

    Danke für den tollen, informativen Artikel!

    Ich beiße mir gerade die Zähne an eingebetteten YT-Videos aus. Dieses „Erweiterter Datenschutz“ Häkchen ist ja auch nur da, damit es da ist. Bringen tuts nur Nichts. Gravatar, Fonts und Jetpack sind bereits verbannt.

    Eine andere Frage: ich verdiene mit meiner Seite kein Geld. Kein Werbebanner oder affiliate Link. Wie weit greift hier die DSGVO? Muss ich hier wirklich alles penibel einhalten? (Wenn nein, hast du da eine Quelle?)

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hi Leo, dankeschön! Die Sache mit den YT Videos ist sehr mühsam – dem erweiterten Datenschutzmodus trau ich ebenfalls nicht. Eine 100%ig wasserdichte Variante ist Lazyload mit Caching vermutlich auch nicht. Interessant finde ich den Ansatz von Borlabs Cookie, die Inhalte erst nach dem Klicken zu laden: Demo.

      Zum Geltungsbereich: Grundsäztlich gilt die DSGVO für „rein private“ Webseiten nicht. Die Definition im Geltungsbereich ist „ausschließlich persönliche und familiäre Tätigkeiten“. Im Einzelfall wird’s dabei wohl auf die Bewertung durch Juristen ankommen. Zitat aus der WKO Info über den Geltungsbereich:

      Verarbeiten natürliche Personen personenbezogene Daten ausschließlich zur Ausübung persönlicher und familiärer Tätigkeiten, gilt die DSGVO nicht (Beispiel: Privatpersonen nutzen soziale Netzwerke).

  42. Eileen
    Eileen sagte:

    Hallo und danke für deine tolle Arbeit. Mir platzt ehrlich gesagt gleich der Kopf. Ich befasse mich seit Wochen damit und irgendwie finde ich immer wieder was neues. Ich habe einen kostenlosen Blog bei WordPress.com. Ich route also nix selber. Da ich über u.A. selbst gekaufte Produkte schreibe, ist meine Seite nicht rein privat. Ich habe alle Social-Media Buttons entfernt, habe kein eigenes Google Analytics-Konto. Die Kommentarfunktion unter Beiträgen habe ich noch drin, aber man kann kommentieren ohne Angabe von Email oder Namen. Und die Abo-Funktion ist noch drin. Ghostery zeigt mir als Tracker u.a. trotzdem Twitter Button, Gravatar und auch Google Analytics an. Da ich das selber nicht ändern kann, max. noch Kommentarfunktion ausstellen, was ich blöd fände, heißt das für mich, ich muss die Seite zum 25.5. schließen.

  43. Winfried
    Winfried sagte:

    Auf der Suche nach einem Cookie- Hinweis für zwei ältere statische Seiten (wo ein Plugin nicht möglich ist), fand ich hier Hilfe:
    https://www.mbm-webdesign.de/cookie-hinweis-script/.

    Obwohl ich mich nur wenig mit html-Programmierung auskenne, habe ich die Dinger eingebaut bekommen und sie funzen. :)
    Lediglich auf einem Rechner (von mehreren), auf dem ich das Ganze dann getestet habe, mußte ich vorher die alten Cookies zu der Seite löschen, dann hat’s auch da geklappt.
    Ihr könnt auch einen link zu eurer Datenschutzerklärung einfügen.

    Den Martin, der das gebastelt hat, könnt Ihr auch per Kommentar mail befragen. An ihn nochmal schönen Dank fürs einstellen.

  44. Katja Heil
    Katja Heil sagte:

    Lieben Dank Ritchie für diese grandiose Zusammenfassung!

    Eine Frage bleibt bei mir noch offen: Ich veröffentliche Bilder auf meinem Blog, die Fotografen eingereicht haben. Es handelt sich im Hochzeiten. Dabei sind das Paar, hin und wieder aber auch Gäste zu sehen.

    Bislang haben mir die Fotografen versichert, dass sie die Zustimmung der Paare haben, die Bilder zeigen/veröffentlichen zu dürfen. Wird dies auch in Zukunft ausreichen? Oder müsste ich mit jeder gezeigten Person ein Release vereinbaren?
    Was mache ich denn mit den alten Beiträgen im Archiv. Alles Löschen?

    Schwierig, schwierig. Ich habs so viel gelesen darüber, aber bislang keine wirkliche Antwort gefunden. Hast Du ne Einschätzung?
    Lieben Gruß,
    Katja

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Katja, danke für das grandiose Feedback :)

      Die Sache mit den Fotos ist eines der großen ungelösten Mysterien. Ich verfolge nebenbei ein paar Fotografen-Gruppen mit. Und da schwant nicht nur mir nichts Gutes – es scheint tatsächlich so zu sein, dass die DSGVO in wesentlichen Punkten mit Bildrechten bzw. Model-Verträgen kollidiert. Speziell in punkto Rücknahme des Einerständnisses. Wie das in der Praxis gelöst wird, darauf scheint’s bisher noch überhaupt keine Antworten zu geben.

      Ich vermute aber, dass du in Zukunft ohne schriftliche Vereinbarung kaum auskommen wirst. Die Frage ist dann allerdings, ob es ein berechtigtes Interesse gibt, dass dem Widerruf entgegen steht. Ansonsten wir das ganze kaum handhabbar sein.

  45. Eileen
    Eileen sagte:

    Hallo, ich nochmal. Ich bin ja bei WordPress.com und da kam man leider einige Sache nicht selber ändern. Kritisch bleibt hier weiterhin Askimet, jetpack. Aber in einigen Blogs wurde gesagt, das an der DSVGO-Konformität gearbeitet wird. Wenn nicht, kann ich den Blog zum 25.5. erstmal abschalten.
    Ich hätte da noch ne Frage zu Facebook-Plugin. Das offizielle Plugin habe ich entfernt und nun ein Bild mit einem Link zu der entsprechenden Facebookseite eingefügt. Ist das konform?

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Eileen, ich hoffe ja immer noch, dass wp.com noch rechtzeitig alles auf die Reihe kriegt – wär sehr schade um jedes einzelne Blog. Nicht gerade förderlich für die Medienvielfalt…

      @Facebook-Einbindung: Ja, diese Variante ist absolut konform – das Bild liegt ja auf deinem eigenen Server und beim Aufruf der Seite findet keine IP-Übertragung statt. Gute Idee, die Fanbox so zu ersetzen.

  46. Boris
    Boris sagte:

    So, jetzt habe ich neben zahlreichen anderen auch diesen Artikel nebst den meisten Kommentaren gelesen und stelle fest, dass der rechtssichere Betrieb selbst eines privaten (Foto-)Blogs kaum mehr möglich ist. Zumindest nicht ohne erheblichen Aufwand und selbst dann bleiben wohl viele Aspekte ungewiss – bis man irgendwann von Abmahngeiern, die sicher schon dabei sind, sich gewinnträchtige Strategien zurecht zu legen, kostenpflichtig auf diese Aspekte hingewiesen wird.
    Ich werde wohl mein Blog entweder vorläufig komplett abschalten oder wenigstens die Kommentarfunktion deaktivieren, bis sich die Sachlage aufklärt und klare, rechtssichere Lösungen erkennbar sind. Im zweiten Fall liefe das Blog dann eben rein passiv weiter ohne jede protokollierte nutzerseitige Interaktion.

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Ich find’s sehr schade, dass die DSGVO-Panik offenbar nicht wenige Blogger zum Aufhören bewegt. Wer seine Seite als Hobby oder aus Interesse betreibt, ist ja eigentlich auf die ganzen „problematischen“ Services gar nicht angewiesen. Klar schmeichelt hübsche Typo dem Auge, aber letztendlich zählt der Inhalt – ich kenn 2018 noch einige statische HTML-Seiten, die besseren Content bieten als viele State-of-the-Art Blogs… ich seh das ganze eigentlich relativ entspannt. Klar muss man einiges Ausmisten, aber das hat ja auch positive Nebenaspekte. Die Sache mit der Kommentarfunktion ist bei Blogs allerdings wirklich ausgesprochen kompliziert. Ich bin gespannt, was WordPress selbst bis zum 25.5. noch in diese Richtung unternimmt.

  47. Wolfram
    Wolfram sagte:

    Hallo, ich hätte mal gerne die Quelle, dass ein Cookie-Hinweis rechtlich vorgeschrieben ist. Meines Wissens kommt die Pflicht dazu erst mit der ePrivacy-Richtlinie, die es noch nicht gibt.

    Grüße,
    Wolfram

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Benjamin, dankeschön!

      Ja, das stimmt – Font Awesome müsste zumindest komplett lokal gehostet werden (die verwendeten Icons). Was bei CDN jquerys naturgemäß gar nicht geht… man könnte allenfalls, so möglich, einen DVA mit CDN-Anbietern, die Privacy-Shield zertifiziert sind, abschließen. Das gleiche gilt ja übrigens auch fürs Amazon Partnerprogramm, sofern man nicht nur Textlinks einbindet, sondern Bilder über die API. Amazon untersagt lokale Kopien und erlaubt Caching für einen gewissen Zeitraum (ich glaub, 12 oder 24h)… aber rein theoretisch: Was, wenn Besucher X meine Seite genau dann aufruft, wenn die Cache-Lifetime abgelaufen ist und das Bild neu vom Amazon-CDN geladen wird? Das ist alles technisch nicht sauber realisierbar und spitzt sich damit auf die Frage zu: Was werden die Gerichte in der praktischen Ausgestaltung als berechtigtes Interessse durchgehen lassen?

      Zum Alleingang Österreichs: Ich war einigermaßen erstaunt. Und erwarte große DSGVO-Business-Flüchtlingsströme aus Deutschland :)
      Aber im Ernst: Ich hab die Fachdebatte ein wenig verfolgt und war wieder mal baff, wie dehnbar Gesetze sein können. Die deutschen Juristen gehen davon aus, dass „unsere“ Novelle ein EU Vertragsverletzungs-Verfahren rechtfertigt, die österreichischen Experten argumentieren mit der vorgesehenen „Verhältnismäßigkeit“. Der Artikeltitel ist allerdings durchaus Boulevard-würdig:

      Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.

      Das find ich nicht so schlecht – first strike und dann die Chance zur Besserung. Es kann ja nicht drum gehen, jedes KMU zur Kasse zu bitten, weil irgendein Detail übersehen wurde. Die ohnehin begrenzten Kontroll-Ressourcen auf Wiederholungstäter und Besserungsunwillige zu konzentrieren, find ich grundsätzlich nicht so übel.

  48. Karen Heyer
    Karen Heyer sagte:

    Hallo Ritchie,
    nachdem ich schon einige Male hier vorbeigeschaut habe, möchte ich ein großes Lob aussprechen für die Recherche und die tolle Zusammenstellung!
    In den letzten Wochen habe ich mich sehr viel mit der DSGVO und den dafür erforderlichen Anpassungen bei mir im Blog beschäftigt. Das Einzige, was ich bisher nicht zufriedenstellend umsetzen konnte, war solch ein hübscher und vorbildlicher Kommentarbereich wie der Deinige. Das ist doch nicht alleine dem Plugin WP GDPR geschuldet, oder? Das hat sich bei mir ungefragt ins Hauptmenü geschummelt, so das ich es wieder deaktiviert habe. Und die Auswahl, welche Kommentare abonniert werden können, habe ich nicht gefunden.
    Viele Grüße
    Karen

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Karen, danke für das Lob!

      Zum Kommentarbereich: Das hat mich ein paar lange Nächte gekostet – und jetzt werd ich noch rot vor lauter Lob :) WP GDPR macht nur die Speicher-Optin-Checkbox. Ich hab lange nach einer soliden Lösung für Kommentar-Abos gesucht und alle möglichen Plugins ausprobiert. Super-happy war ich dann erst mit Comment Mail (Pro). Das generiert die Kommentar-Abo Dropdowns und die Opt-In Checkbox für den Newsletter. Alles super-fein einstellbar mit Double-Opt In, Abo-Manager und Co… und vor alle mit anpassbaren E-Mail und Formular-Templates. Einer der Gründe war, dass man bei CM alle Default Settings einstellen kann. Und ich find’s bei einem Blog wie meinem, wo ein Großteil der Kommentatorinnen und Kommentatoren Fragen stellen, hochgradig sinnvoll, „Antworten auf meinen Kommentar“ standardmäßig aktiv zu stellen. Und das ganze hab ich dann noch (dank kräftiger Hilfe aus dem Enfold Support-Forum – ruling Theme support #1!) mit ein paar Custom CSS Zeilen angepasst.

  49. Maja
    Maja sagte:

    Hey Ritchie,

    danke für diesen ausführlichen und hilfreichen Artikel. Ich hätte ne Frage zu der deutschen Übersetzung für das Plugin, dass du erwähnt hast. In der Plugin Directory kann ich die Übersetzung leider nicht finden. Hast du diese bei wordpress.org eingereicht?

    https://translate.wordpress.org/locale/de/default/wp-plugins/wp-gdpr-core

    Falls nicht, wäre es super, wenn du das machen würdest, da dann alle User davon profitieren können. Ich kann dann auch gerne dem Polyglots Team Bescheid geben und um zugige Freischaltung bitten.

    Danke dir :-)
    Liebe Grüße,
    Maja

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hey Maja,

      nein, ich hab die Übersetzung mit Loco Translate in meinem Backend gemacht und dann die mo/po Files an die Entwickler geschickt bzw. an Mieke Nijs, die auf der Übersetzungs-Seite die 62 Suggestions eingereicht hat. Ich hab noch nie direkt über WordPress.org übersetzt und kenn mich der Translater-Sache null aus. Wär super, wenn du mir da helfen kannst und sagst, was ich machen muss, um die Übersetzung hochzuladen. Hab außerdem grad gesehen, dass viele neue Strings nicht übersetzt sind; aber wenn ich mit Loco Translate mein Template synce, finde ich keine neuen Strings.

      Also wie gesagt – wär dankbar für deine Hilfe, dann lad ich meine Files gern hoch bzw. übersetze die fehlenden Strings. (Aber nicht die Hilfe und FAQ Texte… das würd mein EPU Non-Profit Budget überstrapazieren :)

  50. Marcus
    Marcus sagte:

    Betreff Checkbox: Der auf Datenschutz spezialisierte Anwalt Stephan Hansen-Oest hält die Checkbox nicht nur für absolut überflüssig – was beim Kontakt- bzw. Kommentar-Formular eigentlich auch Schwachsinn ist, da der Besucher ja mit einem kommunizieren will – er hält sie auch für gefährlich.

    Gefährlich in dem Sinne, das sie einem hinterher um die Ohren fliegen kann. Er hat dazu einen Podcast aufgenommen: https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/

  51. Stefan
    Stefan sagte:

    Eine Frage: ich betreibe einen Blog auf WordPress.com: https://royaltravel.wordpress.com/
    Dieser ist nicht kommerziell und übver mein Hobby. Gilt das jetzt als kommerziell oder nicht?
    Bei wordpress.com habe ich nicht die Möglichkeit selber Plugins zu installieren sondern kann nur die von wordpress.com vorgebenen nutzen die sich auch nicht deaktivieren lassen (wie z. Bsp Akismet oder Jetpag).

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Stefan, für nicht-kommerzielle Hobbyblogs gilt die DSGVO nicht. Keine Werbung, keine Produktbeiträge, keine Firma als Herausgeber – als Laie würde ich meinen, dass dein Blog da nicht drunterfällt. Aber ich würd sicherheitshalber eine Anwaltsmeinung einholen.

      • Stefan
        Stefan sagte:

        Hallo Ritchie. Danke für die Informatzion. Einen Anwalt kann ich leider nicht leisten. Ich werde jetzt mal abwarten was WordPress macht und wenn sich ncihts tu den Blog erstmal auf Privat setzen.
        Ein anderes Problem das ich jetzt noch mitbekommen habe sind Bilder. Nachj der neuen Regelung gilt jede Aufnahme eines Bildes als Datenverarbeitung vor allem wenn Personen darauf sind.
        Hier ncoh mehr Informationen: https://gwegner.de/blog/dsgvo-und-auswirkungen-fuer-fotografen-und-webseitenbetreiber/

        • Ritchie Pettauer
          Ritchie Pettauer sagte:

          Da hab ich einige sehr widersprüchliche Aussagen gehört – ich wär auch bei der Formulierung „vor allem, wenn Personen drauf sind“ skeptisch. Ein Baum wird mir eher keine Einverständniserklärung geben :) Ich denke, dass die meisten Personenfotos bisher einfach nach dem Motto „Wo kein Kläger…“ verwendet wurden. Wenn man da zukünftig einen Model Release braucht, auch okay. Rückwirkend wird das aber kaum gelten können.

  52. Nicoletta
    Nicoletta sagte:

    Erstmal danke für die tolle Überischt zur DSVO! Hat mir wirklich geholfen den Einstieg in das Ganze zu finden.
    Wo ich momentan aber noch festhänge ist das Einbinden von Embed Content von Youtube, Vimeo, Twitter, Instagramm, etc., dass ja jetzt auch eher bedenklich wird (Youtube hat zwar immerhin die Privacy Funktion). Du erwähnst kurz die Möglichkeit dazu ein Cached Plugin zu verwenden, hast du da evt. grade eine Empfehlung dazu?

  53. Ronny
    Ronny sagte:

    Mann-o-Mann, das sind ja furchtbare Aussichten… Danke aber trotzdem, oder gerade deswegen, für die Mühe, die du dir mit dieser Checkliste gemacht hast. Bin jetzt erstmal geplättet von den ganzen Anforderungen.

    Werde da wohl noch öfter reingucken müssen, bis bei mir alles „korrekt“ abgewickelt wird.

    Vielen lieben Dank!

    Ronny

  54. Marita Matzk
    Marita Matzk sagte:

    Hallo, vielen Dank für diese Liste!
    Eine banale Frage bleibt für mich ungeklärt: Was ist mit den Daten/Kontakten, die ich VOR Inkrafttreten der DSVGO gesammelt und gespeichert habe? Benötige ich von allen auf meiner E-Mail-Liste eine erneute Zustimmung zum Erhalt meines Newsletters?

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Marita, gern geschehen!

      Zu den Opt-Ins: das hat nichts mit der DSGVO per se zu tun – Double Opt-In ist schon lange vorgeschrieben. Wenn du deine Abonnenten alle rechtskonform gesammelt hast, musst du nicht erneut um Einverständnis fragen. (Der Newsletter sollte ja außerdem eine Unsubscribe Möglichkeiten bieten).

  55. Sven
    Sven sagte:

    Danke für die wirklich interessanten Tipps und Hinweise!
    Eine Frage zum DSGVO Hinweis bei Kommentaren. Hier steht u.a. „… sowie IP-Adresse und…“. Wenn die IP Adresse nach dem Absenden anonymisiert bzw. nicht gespeichert wird, könnte der Hinweis mit der IP Adresse doch eigentlich entfallen, oder? Ich frage deshalb, da ja erst einmal ein IP-Adresse übermittelt und erst im zweiten Schritt anonymisiert wird.

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Sven, ja, vollkommen richtig. Allerdings möchte ich nicht darauf verzichten, die IP erstmal zu speichern – ich seh das als vorbeugende Schutzmaßnahme gegen (eventuellen) Missbrauch. Daher lösche ich die IPs erst nach einer Grace Period raus.

  56. Franz
    Franz sagte:

    Mich würde gerne mal eine ganz andere Betrachtungsweise der DSGVO in den Raum stellen: OK, es gibt bestimmte Vorschriften, die sollte man einhalten. Wenn man sie nicht einhält, was passiert dann? Ich rede jetzt nicht von großen, schweren, offensichtlichewn Verstößen. Ich rede von Allerweltsblogs, die das eine aoder andere Plugin nutzen und damit gegen die DSGVO verstoßen.

    Nehmen wir an, ich nutze ein Plugin, das nicht der DSGVO entspricht und betreibe eine Webseite über Goldfischzucht, die von begeisteten Goldfischgzüchtern gelesen wird. OK. Wer kriegt das jetzt mit, dass mein Plugin XY nicht der DSGVO entspricht und was sind die Konsequenzen? Die Datenschutzbeauftragten interessiert das gar nicht. di ehaben eher mit Google%Co. zu tun und das ist auch richtig so. Was sein kann, das ist, dass die lieben Mitbewerber oder Abmahnanwälte aktiv werden.

    @ Abmahnungen:
    In Deutschland kann man abgemahnt werden. OK. aber dazu muss der Abmahner erst mal technisches Grundwissen haben. Wer nur abmahnt um Geld zu verdienen, findet bereits jetzt Möglichkeiten ohne Ende. Gefühlte 99% der Webseiten sind bereits jetzt auf den ersten Blick abmahngefährdet, weil sie schlechte Sharing-Plugins nutzen, keine Datenschutzerklärung haben oder Ähnliches.

    In Österreich ist die Situation ohnehin eine andere. Da gibt es den Abmahnwahnsinn in der Form gar nicht.

    Fazit: Ich gehe davon aus, dass es für den durchschnittlichen Seitenbetreiber wohl ausreichen wird die wesentlichsten Punkte dieser Liste abzuarbeiten und dabei vor allem zu sehen, ob die genannten Punkte auch für Laien nachvollziehbar sind. Und ob jetzt Plugin XY in einem Detail gegen die DSGVO verstösst, wird vielleicht nicht gaaaaaanz so wichtig sein. Ansonsten werden wir alle den lieben langen Tag nichts anderes mahr machen als DSGVO-Tests durchzuführen.

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Franz,

      ja, da hast du meiner Einschätzung nach recht mit allem. Die Panik steht mittlerweile in keinerlei Relation mehr zu den tatsächlichen Konsequenzen. Wenn in DSGVO-Gruppen Leute ERNSTHAFT fragen, ob sie jetzt alle Kontakte aus ihrem Handy löschen, für die sie keine schriftliche Einverständniserklärung haben (!kein! hypothetisches Beispiel), dann erinnert mich das erstmal an die Y2K Bug Paranoia.

      Letztendlich wird es wohl – in de wie at – auf „Es kann der Bravste nicht in Frieden leben, wenn es dem bösen Nachbarn nicht gefällt“ hinauslaufen. Viele potentielle Verstöße wären tatsächlich nur mir sehr viel technischen Insight überhaupt diskutierbar, was den Ausgang zweifelhaft macht. Und damit die Cause per se uninteressant sogar für Abmahnanwälte. Ich denke mir mittlerweile, dass ein pragmatischer Zugang der einzig mögliche ist. Genau wie du schreibst – man will/muss ja zwischendurch auch noch was anderes arbeiten, als 24/7 Kompatibilitätstests durchzuführen ;)

  57. MICHAEL OHLER
    MICHAEL OHLER sagte:

    Zu externen Links habe ich eine Idee / Frage.
    Das Problem ist ja, dass ich den Inhalt der Zieladresse letztlich nicht kontrolliere bzw, dass diese Zieladresse (z.B. Youtube) IP-Adresse o.ä. des Nutzers abgreifen kann.

    In einem e-Learning Kurs habe ich eine schöne Idee gesehen: bei Anklicken eines externen Links erscheint ein Feld mit einem Hinweis („das ist ein externer Link, dessen Inhalt wir nicht verantworten, blablabla“). Diesen Hinweis muss man akzeptieren und erst dann geht es weiter.

    Das mag für einen Nutzer ein lästiger zusätzlicher Klick sein – der aber gleichzeitig Bewusstsein schafft.

    Leider habe ich den Quellcode nicht lesen können.
    Hat jemand eine Idee, wie man diese „Warnbox“ in einen a-href einbaut?

    Vielen Dank

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Michael, das wäre für meinen Geschmack übers Ziel hinausgeschossen. Natürlich ist man nicht verantwortlich für den Inhalt von Drittseiten. Wenn das jeder macht, dann klicken wir zukünftig mehr Opt-Ins an als Hyperlinks – und es gibt keinerlei gesetzliche Verpflichtung, externe Seiten so zu kennzeichnen… Aber wenn du den Hinweis trotzdem einbauen möchtest, wär das Exit Notifier Plugin eine Option.

  58. carmen
    carmen sagte:

    hallöchen ritchie!

    kompliment zu deiner wirklich top aufgebauten seite & infos zur sache!
    wie ist das eigentlich, wenn ich das wp plugin woocommerce für nen affiliate shop nutze? muss man da auch eine adv wie mit nem hoster abschließen?
    dürfte überhaupt ein instagram plugin noch genutzt werden, das die bildchen in miniatur anzeigt? da kommt doch eine verbindung zustande mit nem cdn? könnt ich den user im cookie-banner darauf hinweisen, dass die und die funktionalität eingebaut ist und wenn er das nicht möchte, muss er die seite verlassen?
    dankö! würd mich freuen!
    carmen

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hi Carmen, ich wär mit Instagram & Co. vorsichtig – dahinter steht immer die Frage, ob es ein berechtigtes Interesse gibt. Derzeit kann niemand abschätzen, wie Gerichte dann letztendlich eine Instabox bewerten werden. Die vorsichtige Lösung wäre ein Opt-In, so wie’s Enfold in der neuesten Version anbietet. Im Prinzip ist jedes Element, das von dritter Seite geladen wird und an diese die IP-Adresse überträgt, ein Problem.

      Zum Affiliateshop: Das kommt im Detail darauf an, wie der Shop aufgesetzt ist. Aber in den meisten Fällen wirst du sowohl mit dem Hoster als auch mit dem Affiliate-Netzwerk (wenn Daten übertragen werden, z.B. durch Bilder von CDNs) einen ADV brauchen.

      • carmen blom
        carmen blom sagte:

        dgsvo gives me no pleasure…erstmal danke für deinen ausführlichen kommentar, ritchie! dieses selektive opt-in könnt ich alternativ auch mit borlabs cookie o. ä. basteln?

        mein affiliate-netzwerk-partner meinte auf nachfrage, dass ich als „joint controller“ fungieren würde und alles safe wär, ohne adv usw…dankö schon ma! best, carmen

        • Ritchie Pettauer
          Ritchie Pettauer sagte:

          Hi Carmen, ja, mit Borlabs kannst du den Nutzer zwischen verschiedenen Art von Cookies unterscheiden lassen. Das Hauptproblem, das ich dabei sehe, ist aber, dass Tracking an sich fragwürdig wird, wenn ein beträchtlicher Teil der Nutzer nicht erfasst wird – und verpflichtend wird dieses „echte“ Optin vermutlich erst mit der ePrivacy Richtlinie 2019.

          @Affiliate-Netzwerk: Da trifft’s Joint Controller ganz gut – allerdings müsstest du als Seitenbetreiber die entsprechenden Infos dann auch in deine DSE aufnehmen: https://gdpr-info.eu/art-26-gdpr/

  59. Thomas
    Thomas sagte:

    Danke erst mal für diesen wirklich ausführlichen Beitrag zu dem Thema DSGVO. Wahnsinn was für eine Arbeit da drin steckt. Mein Respekt gehört Dir.

    Um auf Google Analytics zu kommen, ich nutze stattdessen WP-Statistic. Da bleibt alles „on Board“ und es wird nichts ausgeliefert. IP’s können in den Einstellungen schon anonymisiert werden. Für mich ein weiterer Vorteil, es gibt inkludiert einen Cookie-Hinweis, den ich selbst schreiben kann mit einem Code für Zustimmung oder Ablehnung.

    Des weiteren habe ich einen Programmierung gefunden, die das Wordfence Plugin überflüssig macht, da ich den Code direkt in die htaccess-Datei einbauen kann und eventuelle Angriffe so abblocken kann. Habe ich auch bereits in eine Kundenseite eingebaut und funktioniert einwandfrei.

    Danke noch mal für diesen wahnsinns Beitrag.

    Wenn ich darf, möchte ich diesen Artikel mit „Press This“ in meinem Blog einbinden.

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Thomas, du darfst den Artikel sehr gern einbinden – und danke für das Lob!

      Ich hab mir WP-Statistic angeschaut, ist ein sehr lässiges Tool. Mein Hauptproblem ist, dass ich in Analytics sehr gut eingearbeitet bin – die ganzen problematischen Tracking-Features interessieren mich eh nicht, aber ich liebe die Custom Reports – solange es gesetzeskonform geht, werd ich bei Analytics bleiben. Schwierig wird’s aber der ePrivacy Richtlinie 2019, wenn modale Cookies Pflicht werden.

      Zu Wordfence: Da wär ich vorsichtig – du kannst einige Funktionen auch anders implementieren, aber WF macht noch viel mehr (Source-Code Screening etc.)

  60. Sarah
    Sarah sagte:

    Hallo Ritchie,

    vielen Dank für die ausführliche Aufarbeitung des Themas!

    Ich hab jetzt an mehreren Stellen gelesen, dass E-Mail-Anbieter auch Datenverarbeiter im Sinne der DSGVO sind, da sie z.B. die Mailadressen, Namen und etwaige weitere genannte Daten in einer Mail verarbeiten. Daher brauche man mit dem jeweiligen Anbieter auch einen ADV-Vertrag, der von einigen kostenpflichtigen Anbietern auch bereitgestellt wird.
    An anderen Stellen heißt es wieder, es gäbe Pro- und Contra-Argumente für einen Vertrag mit dem Mailanbieter und ob man nun einen bräuchte, müsse letztlich ein Richter entscheiden.

    Als Bloggerin, die bislang ein Freemail-Angebot nutzt, für das es keinen Vertrag gibt, überlege ich derzeit, wie ich mich am besten verhalte. Weißt du evtl. genaueres zu dem Thema? Ist ein ADV-Vertrag mit dem Mailanbieter zwingend notwendig?

    Viele Grüße!

  61. Andreas
    Andreas sagte:

    hallo Ritchie,

    wie verhält es sich wenn man ein Forum hat bei ForumRomanum? ForumRomanum stellt ja die technische Basis und man selber ist für den Inhalt des jeweiligen Unterforums verantwortlich. Muss ich mit ForumRomanum einen schriftlichten Vertrag zur Datenverarbeitung haben? Es melden sich die User in meinem Forum ja nicht bei mir sondern bei ForumRomanum an und dort werden auch die Daten verarbeitet, gespeichert und ausgewertet usw.

    Die Datenschutzbestimmungen bei FrorumRonamnun wurden ja scheinbar schon DSGVO konform geändert. https://www.forumromanum.de/agb/privacy_de.html

    vielen Dank
    Gruß Andreas

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo Andreas, Forum Romanum kenne ich nicht – aber grundsätzlich wird’s dort ähnlich sein bei allen Hosted Plattformen. Wobei mir nicht klar, wie sich da die Verantwortlichkeiten im Detail zwischen Plattformbetreiber und Plattformnutzer aufteilen. Mit dem Thema hab ich mich aber auch nur sehr am Rand beschäftigt.

  62. Wolf
    Wolf sagte:

    Hallo! Danke für die Interesssante Checkliste – offen gesagt etwas chaotisch (so wie das ganze Thema), aber dafür sehr informativ und damit sehr hilfreich.

    Ich habe eine Frage für DSGVO-Konformität mit WordPress-Blogs: Können Sie mir sagen, ob ich für WordPress einen AV-Vertrag benötige? Ich bin mir nicht sicher, inwiefern WordPress die Daten meiner User selbst verwertet und würde annehmen, dass hierfür ein Vertrag nötig ist, allerdings finde ich dafür gar keine Vorlagen.

    Ich freue mich sehr über eine Antwort!

    Mit freundlichen Grüßen
    Wolf

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hallo, dankeschön – ja, die Checkliste ist im Lauf der Zeit gewachsen. Ich hab die Edits teilweise dringelassen, um das ganze nachvollziehbar zu machen.

      @AV-Vertrag: Meinen Sie ein Blog auf wordpress.com oder ein selber gehostetes? Im zweiten Fall brauchen Sie einen ADV mit Ihrem Hoster – im ersten bin ich mir unsicher. Nach dem gestrigen EuGH Urteil könnte auch wordpress.com in Sachen „geteilte Datenschutz-Verantwortung“ betroffen sein.

  63. Lena
    Lena sagte:

    Hallo und danke für diesen super ausführlichen Beitrag zur DSGVO für Blogger! Meine Schwester hat seit Kurzem ihren eigenen Youtube-Kanal und hat sich noch gar nicht mit solchen Fragen auseinander gesetzt, weshalb ich ihr jetzt unter die Arme greife und im Netz dazu recherchiere. Mein Cousin wird auch bald sein Praktikum beim Rechtsanwalt machen und zu dem Thema danach vielleicht auch mehr wissen.

  64. Helena
    Helena sagte:

    Ich habe lange nach einem so detaillierten Beitrag zu der neuen DSGVO gesucht. Ein Freund von mir ist nämlich Blogger und wollte wissen, was sich konkret geändert hat. Ich wusste gar nicht, dass ein Update der Private Policy nicht reicht um der neuen Verordnung zu entsprechen. Ich glaube, er sollte sich einmal mit Rechtsanwälten beraten.

  65. Nils
    Nils sagte:

    Eine vollständige, anonymisierte Speicherung von IP-Adressen ist durchaus möglich, ohne dabei irgendwelche Persönlichkeitsrechte zu verletzen oder gar die IP-Adressen zu kürzen. Dazu generiert man einen Hash der IP-Adresse. Dieser ist einzigartig, lässt sich aber nicht zurückrechnen und erlaubt dadurch auch keinen Rückschluss auf die jeweilige Person hinter der Adresse. Bei der gekürzten Speicherung wie bspw. bei Google Analytics gehen Daten verloren, da sich die gekürzte IP quasi auf den gesamten Adressbereich bezieht (also maximal 256 mögliche Adressen).

  66. Alex
    Alex sagte:

    Es ist mittlerweile wirklich von großem Vorteil, so viel Funktionalität als möglich selbst zu hosten. Da erspart man sich möglicherweise unnötige Scherereien. Aber bei fortschreitender Vernetzung verheddert man sich schon mal im DSGVO-Gestrüpp…
    Vielen Dank für die Erläuterung der vielen nützlichen Aspekte!

  67. lendinhome
    lendinhome sagte:

    Hallo,
    Damit soll die breite Öffentlichkeit darüber informiert werden, dass lendinhome, ein privater Kreditgeber, eine finanzielle Chance für alle bietet, die finanzielle Hilfe benötigen. Wir vergeben Kredite an Privatpersonen und Unternehmen zu einem Zinssatz von 2% zu klaren und verständlichen Bedingungen. Kontaktieren Sie uns noch heute per E-Mail, damit wir Ihnen unsere Kreditbedingungen mitteilen können: (lendinhome@gmail.com)

  68. Marcus
    Marcus sagte:

    Danke erstmal für Deinen detaillierten Blog-Eintrag.

    Ich hatte jedoch gehofft, es wäre unkomplizierter sobald man sich einliest. Aber je mehr man sich mit diesem Thema befasst, desto verwirrter wird man.

    Ich werde zumindest erstmal versuchen deine Schritte umzusetzen. Learning by Doing, oder?

    Respekt an Dich, dass Du da so einen Durchblick schaffen konntest!

    LG Marcus

  69. Daniel Wom
    Daniel Wom sagte:

    Seit 2018 keine Updates mehr? Ich habe auf meiner Website das mal etwas weitergeführt und zusammengefasst auf die Grundlegenden Dinge, auf die es ankommt. Hier ist mir zuviel unnüztes Zeug dabei, was viel Input ist, obwohl es relativ wenig zu erledigen oder zu beachten ist.

Hinterlasse einen Kommentar

Schreibe einen Kommentar