Wie setzte ich die DSGVO für mein Blog um?

DSGVO Checkliste für Blogger: Wie setze ich die Datenschutz-Grundverordnung für mein Weblog um?

[Zuletzt upgedatet: 27.3.2018]  2016 hat die EU die neue Datenschutzgrundverordnung beschlossen, am 25. Mai 2018 tritt sie in Kraft. Die Panik im Vorfeld ist beträchtlich, was durchaus mit den vorgesehenen Strafen zu tun hat: Bis zu 20 Millionen Euro bzw. 4% des Konzernumsatzes zahlt außer den Big Playern wohl niemand mal schnell so nebenbei aus der Portokassa. Was in größeren Unternehmen ein klassisches Thema für die Rechtsabteilung darstellt, ist für kleinere Unternehmer sowie Blogger durchaus eine beträchtliche Herausforderung.

Welche Schritte müssen Blogger im Detail setzen, damit ihre Seite ab 25. Mai den Anforderungen der DSVGO entspricht? Gleich vorweg: Mit einem Update der Privacy Policy ist es nicht getan. Formulare, Recht auf Auskunft/Löschung und Integrationen mit 3rd Party Services müssen auf jeden Fall überarbeitet bzw. angepasst werden.

DISCLAIMER

Dieser Artikel stellt keine Rechtsberatung dar. Ich habe mich mit den Bestimmungen der DSGVO zwar intensiv beschäftigt, um die entsprechenden Regelungen für meine Blogs umsetzen zu können, bin aber weder Jurist noch Datenschutzexperte. Obwohl ich mit aller angemessenen Sorgfalt auf die Richtigkeit der veröffentlichten Informationen achte, kann hinsichtlich der inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen sowie für allfällige Rechtsfolgen, die sich aus der Umsetzung dieser Informationen ergeben, keinerlei Gewähr übernommen werden.

Was ist die DSVGO?

Die Datenschutz-Grundverordnung gilt EU-weit und ist in jedem Mitgliedsstaat unmittelbar anwendbar. Sie enthält jedoch etliche Spielräume, die national ausgestaltet werden können, was in Österreich durch das Datenschutz Anpassungsgesetz 2018 (eine Novelle zum DSG 2000), geschehen ist.

Der vollständige Titel des Regelwerks lautet Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). Ziel ist die Stärkung der Privatsphäre und mehr Kontrolle über persönliche Daten. Betroffen ist jedes Unternehmen, das in *irgendeiner* Form Datenverarbeitung betreibt – und sei es bloß ein Kontaktformular auf der Homepage.

Ab 25. Mai entfallen zwar die Meldepflicht bei der Datenschutzbehörde und der zugehörige Eintrag im Datenverarbeitungsregister, dafür tragen Auftraggeber und Dienstleister weit höhere Verantwortung.

Es sind geeignete technische und organisatorische Maßnahmen und Verfahren (z.B. Pseudonymisierung) zu treffen, damit die Verarbeitung den Anforderungen der Verordnung genügt und die Rechte der betroffenen Personen geschützt werden. Datenschutzrechtliche Voreinstellungen sollen sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

Privacy by Design / Privacy by Default sind gefordert, gespeichert werden darf nur, was für die jeweilige Datenverarbeitungstätigkeit notwendig ist. Zusätzlich ist die Führung eines sogenannten „Verarbeitungsverzeichnisses“ gefordert, auch für Unternehmen unter 250 Mitarbeitern. Außer, wenn:

  • die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt,
  • die Verarbeitung nur gelegentlich erfolgt und
  • die Verarbeitung keine sensiblen Daten bzw. keine Daten über strafrechtliche Verurteilungen beinhaltet.

Dies dürfte die meisten Blogger also nicht betreffen – ich kann mir nicht vorstellen, dass die Anmeldung zu einem Newsletter oder das Verfassen eines Kommentars Rechte und Freiheiten bedroht bzw. E-Mail und Name sensible Daten darstellen.


[Update 6.2.2018]  Wie Rechtsanwalt und DSGVO-Experte Mag. Peter Harlander (lawoffice.at als Kommentar zu meinem Facebook-Update geschrieben hat, gilt für Blogger offenbar sehr wohl die Verpflichtung eines solchen Verarbeitungsverzeichnisses:

Blogger müssen definitiv ein Verfahrensverzeichnis führen. „Nur gelegentliche Verarbeitung“ liegt dank Webanalyse / Kommentarfunktion / Newsletter etc nicht vor. Damit kein genereller Entfall der Pflicht zur Führung eines Verarbeitungsverzeichnisses. (Artikel 30 Abs. 5 ist in der Verordnung unrichtig übersetzt und daher missverständlich.)

Wie kann so ein Verzeichnis denn ausschauen? Die WKO hat eine hilfreiche Vorlage.

[Update 26.3.2018]  Hilfreich ist allerdings relativ – die formale Gestaltung des Verarbeitungsverzeichnisses ist die eine Seite der Medaille, die grundsätzliche konzeptionelle Herangehensweise steht auf einem anderen Blatt. Wer soll erfasst werden, von welchen Daten ist hier überhaupt die Rede? Einen ausgesprochen hilfreichen Beitrag zu diesem „den-Wald-vor-lauter-Bäumen-nicht-sehen-Thema“ hat Harald Dvorak verfasst: DSGVO – Verarbeitungsverzeichnis How-To.


Auch die vorgeschriebene Datenschutz-Folgenabschätzung und die verpflichtende Einsetzung eines Datenschutzbeauftragten trifft nur Unternehmen, deren Kerntätigkeit in der Durchführung von Datenverarbeitung besteht oder die mehr als 10 Mitarbeiter haben.

Je nach Geschäftsmodell müssen Online-Shops, Community-Betreiber und App-Anbieter an unterschiedlichen Stellschrauben drehen. Rein private Blogs dürften wenig zu befürchten haben, sobald jedoch auch nur ein einziger Banner, Affiliate oder Testbericht auftaucht, spricht der Gesetzgeber von Gewinnabsicht bzw. einer gewinnorientierten Seite – unabhängig, ob diese von einem Unternehmen oder einer Privatperson betrieben wird, greifen in diesem Fall die neuen Bestimmungen.

[Update 15.3.2018] Der kriminelle Blogger: Generelle Überlegungen zu WordPress, Themes, Plugins & der DSGVO/GDPR

Dass Juristen IP-Adressen zu den persönlichen Daten zählen, stellt WordPress und anderen CMS-Systeme respektive deren Anwender vor ganz neue Herausforderungen: Die Architektur des Internet baut nun mal auf IP-Adressen auf – wann immer Daten von externen Servern angefordert werden, überträgt das gute alte http-Protokoll die IP des Clients. Das betrifft eben nicht nur diverse böse Tracking-Pixel, sondern Gravatar-Bilder, Emojis und Google Maps.

Wir haben uns an den Komfort von API-Calls gewöhnt und die Verfügbarkeit von kostenlosen Add-Ons jahrelange genossen: Google ist großzügig, wenn es um die Einbindung von Kartenmaterial oder Videos geht – da nimmt man ein wenig Datenkrakelei schon ein Kauf. Das war zumindest bisher der Deal.

Selbstverständlich sind zahlreiche DSGVO-Änderungen stark vom verwendeten Theme abhängig: Google Fonts, Google Map Calls und etliche andere nach aktuellem Stand nicht DSGVO-konforme Aufrufe externer Services werden in der Regel über Plugins oder über das Theme realisiert. Dass alle Developper ihre WordPress Themes an die DSGVO anpassen, können selbst die größten Optimisten nicht erwarten – im Zweifelsfall wird jedenfalls der Webmaster (respektive Blogger) selbst Hand anlegen müssen.

Glücklich schätzen können sich in dieser Hinsicht die Nutzer des populären Enfold-Themes, denn die Entwickler haben im Support-Forum bereits angekündigt, bis zum Tag X alle DSGVO-Vorgaben zu implementieren. Dass der Entwickler des Teams selbst Österreicher und damit EU-Bürger ist, erweist sich in diesem Fall also als gravierender Vorteil für die europäischen Nutzer. Meine Nachfragen bei diversen US-Theme-Programmiereren und Premium-Plugin-Anbietern zeichneten in dieser Hinsicht ein eher düsteres Bild: Den meisten WordPress-Entwicklern außerhalb Europas ist die DSGVO bzw. GDPR bislang herzlich egal.

Ein weitaus größeres Ärgernis stellen allerdings diverse WordPress-Features dar, die ab 25. Mai nicht mehr in dieser Form nutzbar sein werden: Gravatar-Bilder für Kommentare, Emojis (auch die werden von Auttomatic-Servern geladen!) und der Antispam-Service Akismet verstoßen ebenso wie die integrierte Embed-Funktionalität klar gegen die kommende europäischen Datenschutz-Gesetzgebung.

[Update 26.3.2018] Die WordPress Core Programmierer sind aber natürlich nicht untätig und arbeiten bereits an neuen Funktionen und Hooks, die alle notwendigen „Data Clearances“ an zentraler Stelle managen und Plugins an den zukünftig im Core beheimateten GDPR-Layer „andocken“ lassen. Mehr Infos dazu in diesem Update.

Dass Auttomatic der DSGVO-Konformität zuliebe diese durchwegs sinnvollen und populären Features aus dem Core herausnimmt, kann ich mir selbst bei Matt Mullenwegs bestem Willen nicht vorstellen. Im Optimalfall gibt es spätestens ab 25. Mai ein offizielles Europe-GDPR-Plugin, das die besagten Funktionalitäten deaktiviert – falls nicht, müssen sich Webseitenbetreiber eben selbst um jeden einzelnen Punkt kümmern.

Obwohl technische Lösungen zwar großteils in Form bequem zu aktivierender Plugins (oder zukünftig sogar als integraler Teil von WP) verfügbar sind, erfordert der Betrieb einer WordPress-Seite nach derzeitigem Kenntnisstand ab 25. Mai eine ganze Menge an juristisch-technischem Fachwissen. Ich hoffe im Sinne der gesamten Blogosphäre, dass möglichst zeitnahe eine One-Click-Lösung verfügbar sein wird, denn die Einstiegshürde fürs Publizieren im Internet zu erhöhen, kann keineswegs Sinn der DSGVO sein: An Monopolen und Big Playern mangelt es uns im Internet wahrlich nicht.

DSVGO Checkliste: Was muss ich tun, damit mein Blog alle Bestimmungen erfüllt?

Jeder Betreiber eines Weblogs wird sich mindestens Gedanken über die folgenden drei Bereiche machen müssen:

  1. Anpassung der Datenschutzerklärung
  2. Umgang mit Drittanbieter-Services
  3. Datenerfassung- und Speicherung

Die folgende Checkliste umfasst Punkte, die in jedem Fall abgearbeitet werden müssen, erhebt jedoch keinen Anspruch auf Vollständigkeit.

Kann ich meine Seite mit einem Plugin DSGVO-kompatibel machen?

[Update 12.3.2018] Nein, nicht auf Knopfdruck bzw. nicht umfassend. Die DSVGO heißt auf Englisch GDPR (General Data Protection Regulation), und man findet im offiziellen Repository sehr wohl zwei entsprechende Plugins. WP GDPR Compliance unterstützt WooCommerce, die WordPress Kommentarfunktion und Contact Form 7 und gibt Compliance-Tipps. Das Plugin ist aber KEINE All-in-One Lösung, sondern setzt nur zwei der unten gelisteten Punkte um – und die Kommentar-Compliance bringt WordPress hoffentlich bis spätestens 24.5. im Core mit.

Spannender ist da schon WP GDPR, das neben der Checkbox auch ein technisches Interface für das „Recht auf Vergessen“ implementiert – also Nutzern die Möglichkeit bietet, früher verfasste Kommentare löschen oder anonymisieren zu lassen. Das Plugin gefällt mir ausgesprochen gut, deshalb habe ich die deutschen Übersetzung dafür geschrieben – ein ausführliche Vorstellung folgt in den nächsten Tag.

Und dann gibt es da noch All-in-One GDPR auf Codecanyon – ein Plugin ohne Demo und nähere Beschreibung um „günstige“ $68 (bisher 13 Verkäufe). Die Screenshots legen nahe, dass es in erster Linie um Privacy-Präferenzen für registrierte Nutzer geht, den Kommentare nach zu urteilen dürfte das Plugin außerdem Probleme mit zahlreichen WordPress Installationen verursachen.

Also kurz gesagt: Eine 1-Klick-Implementierung ist nicht in Sicht. Es gibt diverse Plugins, die einzelnen Aspekte regeln. Meine Favoriten habe ich in der nachfolgenden Checkliste verlinkt.

  • Checkliste: DSGVO Compliance für Blogs

  • Datenverbeitungs-Vertrag mit dem Provider

    [Update 16.3.2018]  Im Sinne der neuen Gesetzgebung ist der Anbieter des Webspace beim Shared Hosting ganz klar ein Datenverarbeiter – schließlich speichert er schon allein aus technischen Gründen persönliche Daten (z.B. Namen und E-Mails von Kommentaren durch automatisierte Backups) und IP Adressen (Server Logs). Schon allein aus sicherheitstechnischen Überlegungen heraus kommt eine Deaktivierung aller Backups und Logs nicht in Frage. Also wird ein zusätzlicher Vertragsabschluss fällig. Wie das Recht auf Löschung sich mit der Notwendigkeit von Backups verträgt, ist derzeit allerdings nicht nur mir ein Rätsel.

    Das Gesagt gilt primär für Shared Hosting. Betreibt man einen Root- oder Colocated Server, bei dem der Hoster gar keinen Zugriff hat, entfällt die Notwendigkeit des Vertragsabschlusses, dafür ist hier der Webmaster selbst für eine gesetzeskonforme Konfiguration seines Servers verantwortlich.

  • Sichtbarkeit des Datenschutzhinweises

    Sollte klar ersichtlich und leicht erreichbar sein. Ein Link im Footer sollte reichen, einen Link Above-the-Fold zu integrieren, kann sicher nicht schaden. Besonders vorsichtige Naturen bringen einen Link zur Datenschutzerklärung direkt im sowieso vorgeschriebenen Cookie-Hinweis unter.

    [Update 16.3.2018] Dieser Cookie-Hinweis ist aber voraussichtlich bloß eine Übergangslösung, bis 2019 die ePrivacy Richtlinie in Kraft tritt. Juristen gehen davon, dass ab diesem Zeitpunkt eine explizite Einverständniserklärung mit vorgeschaltener (!) Opt-Out Möglichkeit erforderlich wird. Das einzige mir bekannten Plugin, das auf diese funktioniert, ist das kostenpflichtige Borlabs Cookie (€19 pro Webseite). Eine schöne, saubere Lösung einerseits – aber ob dann die Verwendung von Google Analytics überhaupt noch sind macht, werden wir wohl erst 2019 wissen.

  • Inhalt der Datenschutzerklärung

    Standard-Texte tun’s nicht mehr: Die Datenschutzerklärung muss eine individuelle Ausgestaltung vorweisen. Auf den Einsatz externer Dienste ist verpflichtend hinzuweisen, sofern durch den Aufruf der Seite personenbezogene Daten erhoben werden. Ein anpassbares Muster (individualisierte DS-Erklärung erforderlich!) hat die WKO.

    Tipp - Update 16.3.2018
    Einen nützlichen Tipp zur Vorbeugung vor automatisierten Abmahn-Wellen möchte ich Ihnen an dieser Stelle zusätzlich ans Herz legen: Stellen Sie Ihre Datenschutz-Erklärung auf „noindex“, sodass sie von Google nicht in der Suche angezeigt wird. Das verhindert zumindest, dass automatisierte Scripts, die nach möglicherweise unzulässigen Formulierungen suchen und automatisiert Abmahn-Listen generieren, Ihre Seite identifizieren. (Wär ja nicht das erste Mal.)
  • SSL Verschlüsselung

    Die DSGVO schreibt SSL Verschlüsselung zwar nicht explizit vor. Ohne wird sich aber eine sichere Datenübertragung (beispielsweise für Formular-Nachrichten oder Kommentare) nicht realisieren lassen. Neben der DSGVO sprechen noch viele andere sehr gute Gründe für den Umstieg auf https. Seit Let’s Encrypt kostenlose Zertifikate vergibt, gibt es überhaupt keine Ausrede mehr. Die Umstellung von WordPress erfolgt entweder händisch (mit Search and Replace in der Datenbank und Anpassung der htaccess) oder via Plugin. Diese Anleitung beschreibt die notwendigen Schritte. Scheitert das Installieren eines Zertifikats am Hoster, dann wäre es an der Zeit, diesen auch gleich zu wechseln.

  • Cookiehinweis

    Schon länger vorgeschrieben, daran ändert sich nichts. Etliche Plugins bieten ihre Dienste an, ich bin ausgesprochen zufrieden mit Cookie Consent von Catapult Themes.

  • Recht auf Löschung/Berichtigung

    Nutzer, deren personenbezogene Daten gespeichert werden, müssen jederzeit die Möglichkeit haben, die Löschung dieser Daten zu verlangen. Ein entsprechender Hinweis und ein rechtssicheres Impressum mit Kontaktmöglichkeit sollten diese Anforderung abdecken. Im Falle des Falles hat dann folgendes zu geschehen:

    Die betroffene Person ist von der durchgeführten Maßnahme zu informieren. Dies hat schriftlich zu erfolgen, und zwar in einer kompakten, transparenten, verständlichen und leicht zugänglichen Form. Elektronische Medien (vor allem E-Mail) können insbesondere dann verwendet werden, wenn der Antrag elektronisch gestellt wurde.

  • Formulare

    Die meisten Blogs verwenden zumindest ein Kontaktformular, eventuell kommen so wie hier auf datenschmutz auch weitere Formulare (für Gewinnspiele, Artikelfeedback etc.) zum Einsatz. Werden mittels Formularen Daten erhoben und gespeichert (zum Beispiel durch ein Formular-Plugin, das alle Einträge auch in der Datenbank speichert), so muss der Nutzer dazu explizit seine Einwilligung erteilen. Eine entsprechende Checkbox zur Einholung der Zustimmung des Nutzers (darf standardmäßig nicht angehakt sein) ist die sicherste Art der Umsetzung.

  • Newsletter

    Wer einen Newsletter anbietet und für den Versand einen Drittanbieter wie Mailchimp oder Aweber nutzt, muss eine ganze Reihe von Vorgaben beachten. Mailchimp hat sich dem Privacy Shield Abkommen unterworfen, der Abschluss eines Datenverarbeitungsvertrages sowie ein deutlicher Hinweis bei der Anmeldung sind zukünftig verpflichtend. Eine hervorragende Anleitung mit Mustertexten finden Sie bei Rechtsanwalt Dr. Schwenke. Gegebenenfalls wird es auch notwendig sein, mit externen Dienstleistern analog zu Google Analytics einen entsprechenden Datenverarbeitungsvertrag zu unterzeichnen. Mailchimp erledigt das digital, hier geht’s zur Vertragsvorlage.

    [Update 26.3.2018]  Roland Giersig hat auf digisociety.at einen Beitrag über DSGVO-konforme Newsletter verfasst, der einen Vorschlag für eine möglichen Zustimmungstext (unterzubringen beim Eingabeformular bzw. in der Bestätigungs-E-Mail).

  • Share Buttons am Blog

    Die DSGVO bedeutet durchwegs nicht das Ende aller Share-Buttons. Allerdings dürfen keinerlei Daten des Webseitenbesuchers ohne dessen Zustimmung erhoben bzw. übertragen werden. Das bedeutet, man muss eine technische Implementation wählen, bei erst dann Daten übertragen werden, wenn der Besucher die Share-Funktion auch tatsächlich nutzt.

  • Webseiten-Chat

    [Update 26.2.2018] Inzwischen sehr populär: Webseiten Live-Chats, meist mit einem Chat-Icon in der unteren rechten Ecke eingebunden. Facebook und etliche Drittanbieter bieten mehr oder weniger komplexe Lösungen. Aber in den meisten Fällen laufen die eigentlichen Chats sowie allfällige Datenspeicherungen (E-Mail, Uploads etc.) über die Server von Drittanbietern, die oft nicht einmal mit dem Plugin-Anbieter identisch sind. Abhilfe schafft ein vollständig selbst gehostetes Chatsystem. Ich habe kürzlich vom 3rd Party Chat Drift zu Fluent Chat gewechselt, dem allerdings die Opt-In Checkbox fehlt. Der Support hat sich bisher noch gemeldet, also werde ich bis zum 25. Mai noch Awesome Live Chat evaluieren.

  • Google Analytics Vertrag

    Neben dem verpflichtenden Hinweis auf den Einsatz von Google Analytics sowie einer inkludierten Opt-Out Möglichkeit ist ZWINGEND ein Vertrag zur Auftragsdatenverarbeitung mit Google abzuschließen.

    [Update 13.3.2018] Ob dieser Vertrag auf Papier übermittelt werden muss oder digital abgehakt werden kann, hängt vom eigenen Wohnsitz ab. In Deutschland ist der Postweg zu wählen, die entsprechende PDF-Vorlage findet man hier. Der Vertrag ist zweimal auszudrucken und unterschrieben an Google Irland (Adresse im Dokument) zu schicken. In Österreich reicht die digitale Zustimmung. Die betreffende Funktion findet man in den Account-Einstellungen. Klicken Sie auf Ihrer Analytics-Startseite auf „Verwaltung / Admin“ und wählen Sie dann den ersten Punkt „Einstellngen / Account Settings“. Am Ende dieser Seite finden Sie den Abschnitt „Data Processing Amendment“. Der Vertragsanschluss folgt anschließend via Mausklick.

    Google speichert das Unterzeichnungsdatum. In weiterer Folge kann man unter „Review Amendment“ jederzeit nachlesen, was man da eigentlich unterschrieben hat.

  • Google Analytics Opt-Out Option

    Die Opt-Out Funktionalität lässt sich am einfachsten mit dem Plugin GA Opt-Out realisieren oder mit einem Hinweis auf entsprechende Browser-Extensions. Sinnvollerweise wird man den entsprechenden Code an passender Stelle innerhalb der Datenschutzbestimmungen einbauen.

  • Google Analytics IP-Anonymisierung

    Wie man die IPs anonymisiert, hängt von der Art der Tracking-Code Einbindung ab. Wer den Tracking-Code direkt einbindet, fügt die Funktion anonymizeIP zu. WordPress Plugins (ich empfehle GA Dashboard for WordPress) verfügen in der Regel über eine entsprechende Option. Dritte Möglichkeit ist die entsprechende Konfiguration des Tag Managers.

  • Google Fonts

    [Update 13.3.2018] Google hat mit seinen kostenlos verfügbaren Fonts die Typographie im Netz nachhaltig verändert. Statt Times New Roman und Arial stehen hunderte Schriften aus dem Fonts Repository zur Verfügung. Die werden aber nicht am eigenen Server/Webspace gespeichert, sondern aus der Cloud in den Cache des Nutzers geladen. Dabei wird unweigerlich die IP-Adresse und sogar der persönliche Browser-Verlauf an Googles Server übermittelt. Die Font-Diversität wird deshalb nicht aus dem Netz verschwinden, aber alle mir bekannten Themes binden Fonts eben nicht lokal ein, denn dazu müsste das Theme *alle* angebotenen Fonts komplett enthalten. Allerdings kann man die Fonts auch am eigenen Server unterbringen – eine Anleitung dazu haben die Netzialisten verfasst. Oder man erstellt gleich ein Custom Plugin mit den verwendeten Fonts.

  • Kommentarfunktion

    Da die Veröffentlichung eines Kommentars einen aktiven Akt darstellt mit dem Ziel, die betreffenden Informationen frei zugänglich ins Netz zu stellen, könnte wohl davon ausgegangen werden, dass keine zusätzliches Opt-In Checkbox erforderlich ist. Ein Hinweis zur Datenspeicherung (idealerweise mit Link auf die Datenschutz-Policy) muss aber auch an dieser Stelle angebracht werden – über die genaue Gestaltung herrscht derzeit noch Unklarheit, ein bloßer Hinweis auf die Datenschutzerklärung dürfte allerdings nicht ausreichen. Ich habe mich auch hier für eine verpflichtende Checkbox samt ausführlicher Erläuterung entschieden. Wer diese via WP GDPR einbaut, kann den Erläuterungstext bequem im Backend anpassen. Sieht bei mir aktuell so aus:

    DSGVO Checkbox im Kommentar-Formular

  • Speicherung von IP Adressen mit Kommentaren

    [Update 16.3.2018] Die DSGVO verlangt Datensparsamkeit und Löschfristen. Daraus ergibt sich die Frage: Dürfen/sollen Blogger die IP-Adresse von Kommentatoren speichern, haben sie ein berechtigtes Interesse daran? In der Standard-Konfiguration schreibt WordPress zu jedem Kommentar die IP in die Datenbank. Dafür gibt es durchaus gute und nachvollziehbare Gründe: Im Fall von Rechtsstreitigkeiten kann die IP-Adresse helfen, auf behördliche Anordnung hin die Identität festzusstellen – sofern keine Anonymisierungsdienste im Spiel sind.

    Wer der Meinung ist, dass diese Speicherung einen Verstoß gegen die DSGVO darstellt, kann WordPress recht einfach umerziehen: mit einem vierzeiligen Code in der functions.php verhindert man die zukünftige Erfassung der IP. Bereits gespeicherte IPs lassen sich mittels einer Abfrage im phpMyAdmin auf einen Schlag aus der Datenbank entfernen. Eine ausgezeichnete Anleitung für beide Schritte hat dankenswerterweise das Kritzelblog ins Netz gestellt.

    Tipp - Update 16.3.2018
    Tipp zum Thema functions.php: Theme-Updates überschreiben diese Datei, daher empfehlt sich für die Verwaltung diverser Custom Functions das äußerst nützliche Code Snippets Plugin.

    Heike hat gefragt, wie man den SQL-Befehlt auf einen bestimmen Zeitraum einstellt – das funktioniert mit der Einschränkung „WHERE“) und einer Daterange-Selektion mit „BETWEEN“. Sieht so aus: (Keine Gewähr!)

    UPDATE xx_comments SET comment_author_IP = ' '
    WHERE (date_field BETWEEN '2017-01-01 00:00:00' AND '2017-12-31 00:00:00');
    

    Das xx in xx_comments muss mit dem eigenen Table-Präfix ergänzt (Standard: wp_) und der Datumsbereich natürlich angepasst werden.

    [Update 26.3.2018]  Die IP-Speicherung hat unter Umständen auch eine strafrechtliche Dimension und sollte im Kontext der Moderations-Strategie betrachtet werden. Mehr dazu in diesem Update.

  • Gravatar-Bilder

    [Update 16.3.2018] Auttomatic betreibt den Gravatar-Service, der es Nutzern ermöglicht, ihre E-Mail Adresse mit einem Avatar-Bild zu koppeln. Webseiten, die Kommentarfunktionen anbieten, können die E-Mail Adresse an die Gravatar-API senden und bekommen das vom Nutzer zugeordnete Bild zurückgeliefert. Das Problem dabei: Wenn immer jemand einen WordPress-Kommentar verfasst, fragt das inkludierte Gravatar-JavaScript bei Auttomatic nach, ob zur eingegebenen E-Mail ein Gravatar existiert. Dabei wird die E-Mail nicht im Klartext übertragen, sondern gehasht – also verschlüsselt und für den Empfänger nicht reproduzierbar.

    Wer in diesem Punkt der DSGVO entsprechen möchte, kann die Gravatar-Funktion unter dem Menüpunkt „Einstellungen“ -> „Diskussion“ ganz abdrehen. Am Ende der Page finden Sie unter der Überschrift „Avatare“ als erstes die standardmäßig aktivierte Checkbox „Avatare anzeigen“.

    Gravatar-Bilder deaktivieren.

    Deaktivieren Sie die Checkbox, um die Gravatar-Abfrage zu unterbinden.

    Wer registrierten Nutzern die Möglichkeit bieten möchte, Avatar-Bilder anzuzeigen, kann mit dem Plugin Disable User Gravatar die Remote-Abfrage deaktivieren und trotzdem lokal gehostete BuddyPress oder Avatar Manager Bildchen anzeigen.

    Ich bin der Meinung, dass Gravatare einen echten Mehrwert bieten – sie machen Kommentatoren leichter wiedererkennbar, Threads optisch ansprechender und stellen eine einfache, Nutzer-kontrollierte Form der visuellen Selbst-Repräsentation dar. Kurz gesagt: Ich möchte auf die Kommentar-Bildchen nicht verzichten und habe in meine Kommentar-Einverständniserklärung einen entsprechenden Hinweis mit aufgenommen.

  • Emojis

    [Update 16.3.2018] Daran würde man wohl zuletzt denken – aber in der Tat werden die seit WordPress 4.4 inkludierten Emojis nicht lokal geladen, sondern von Auttomatic-CDN-Servern angefordert und übertragen an diese ergo die IP-Adresse Ihrer Blogbesucher. Diese Remote Emojis kann man auf zwei Arten los werden: Entweder bequem via Plugin (Disable Emojis von Ryan Hellyer) oder über einen Eingriff in die functions.php wie auf Woorkup.com beschrieben. Weitere Möglichkeit: Manche Caching/Performance Plugins deaktivieren optional die Emojis.

  • Antispam Plugin

    [Update 13.3.2018] Akismet, der „offizielle“ Spamfilter von WordPress, ist ein Cloud Service. Kommentare werden zur Überprüfung an externe geschickt, die anschließend das Ergebnis zurückliefern. Akismet verschickt sowohl Name, E-Mail, Kommentarinhalt als auch die E-Mail Adresse – bequem, geht aber gar nicht mehr. Zum Glück steht im Plugin-Repository eine kostenlose Alternative bereit. AntiSpamBee verrichtet seinen Job sowohl zuverlässig als auch im Einklang mit der DSGVO. Achtung: Die Funktion „öffentliche Spamdatenbank berücksichtigen“ muss deaktiviert bleiben, da Spam-Datenbanken den Abgleich der vollständigen IP vornehmen (nona). Die Sprach-Identifikation via Google überträgt allerdings nur den Kommentartext und keine weiteren Daten.

  • User-Registrierung

    Bietet ein Blog die Möglichkeit der Registrierung an, so dürfen nur jene Daten gespeichert werden, die mit für die angestrebte Funktionalität erforderlich sind. Bei einer Community-Seite, die personalisierte Geburtstagswünsche verschickt oder regionalisierte Newsletter, wird die Speicherung der betreffenden Daten durchaus Sinn machen. Das Einverständnis des Nutzers und ein Hinweis auf die Datenschutzerklärung sind in jedem Fall erforderlich.

  • Cloudflare

    [Update 21.3.2018]  Cloudflare ist ein amerikanischer Anbieter, der Webseitenbetreibern zwei Vorteile bietet: Bessere weltweite Performance durch das hauseigene CDN (Content Distribution Network) und zusätzliche Sicherheit gegen DDoS Attacken. Neben dem kommerziellen Produkt bietet Cloudflare, das sich auf die Fahnen schreibt, den größten, schenllsten und verlässlichsten DNS-Service der Welt zu betreiben, ein grundlegendes Schutzpaket (ohne CDN-Funktionalität) kostenlos an. Man routet sozusagen die DNS-Requests über Cloudflare, die eingebaute WAF (Web Application Firewall) blockt die meisten DDoS Attacken sehr zuverlässig. Das Gratis-Angebot „Servershield“ könnte durchaus gegen DSGVO Bestimmungen verstoßen, bei der Nutzung des CDN wird garantiert ein Datenverabeitungs-Vertrag fällig. Ich war einigermaßen überrascht, dass Cloudflare eine GDPR Landingpage eingerichtet hat. Dort findet man auch einen Link zu einem laut Eigenauskunft DSGVO-kompatiblen Vertrag. Der ist allerdings mit eingescannter Unterschrift des CEOs blanko-unterschrieben – ob diese Form der Abwicklung einer gerichtlichen Prüfung standhält, wage ich zu bezweifeln.

  • Caching-Plugins

    [Update 21.3.2018]  Caching Plugins sind per se eigentlich kein Problem, ganz im Gegenteil: Dank korrekt implementierter Caching-Lösungen werden Europäer auch in Zukunft beispielsweise Instagram-Widgets GDPR-konform auf WordPress-Seiten einbauen können. Der entscheidende Punkt: Die Drittanbieter-Daten dürfen nicht live bei Aufruf der Seite abgerufen werden, sondern müssen bereits vorher lokal gespeichert sein – so wird die Übertragung der IP-Adresse an Drittservices zuverlässig verhindert. Allerdings bieten viele Caching-Plugins optional die Möglichkeit an, ein CDN (Content Distribution Network) zu nutzen. Die Idee: Durch die Spiegelung datenintensiver Inhalte (Bilder, Videos) auf verschiedene Server gewährleisten CDNs weltweit einen schnellen Seitenaufbau. Zu den populärsten CDN-Anbietern gehörten Amazon und Cloudflare (siehe „ungeklärte Fragen“). Das Problem dabei: Analog zu Embeds wird beim Abruf der Daten die IP-Adresse des Nutzers an den jeweiligen CDN-Betreiber übermittelt. Nach derzeitigem Stand sollte die Nutzung solcher CDNs deaktiviert werden, es sei denn, der Anbieter hält sich an die Privacy Shield Bestimmungen UND offeriert einen Datenverarbeitungs-Vertrag.

  • Jetpack

    [Update 21.3.2018]  Einzelne Plugins aufzuzählen und deren GDPR-Compliance zu bewerten, überfordert bei der schier unüberschaubaren Zahl an WordPress-Extensions meine bescheidenen Möglichkeiten bei weitem. Trotzdem möchte ich aufgrund der Popularität dieses Plugins oder besser dieser Pluginsammlung anmerken: Das populäre Jetpack for WordPress geht gar nicht mehr. Auch vor Inkrafttreten der DSGVO hätte ich von der Nutzung dieses aufgeblähten, sperrigen Konvoluts dringend abgeraten. Die meisten Features und Funktionen greifen auf Auttomatic Server zu und bieten im Vergleich zu self-hosted Alternativen meiner Meinung nach keinen rechtfertigbaren Mehrwert. Der Vollständigkeit halber sei trotzdem erwähnt, dass die Verantwortlichen eine GDPR-konforme Version in der Pipeline haben:

  • Push Notifications

    [Update 27.3.2018]  Browser-Benachrichtigungen bei Seiten-Update erfreuen sich ungebrochener Popularität – zumindest bei Webmastern und Marketern. Kaum eine Webseite, die nicht beim ersten Besuch nachfragt, ob sie auch ein bisschen Facebook spielen und Push-Notifications senden darf. Wie sinnvoll solche Push Notifications für kleine und mittlere Blogs wirklich sind, muss jeder selbst entscheiden. In Sachen DSGVO spielt die Implementation eine beträchtliche Rolle. Ob über Plugin oder direkt eingefügtes JavaScript eingebunden, alle mir bekannten Systeme nutzen Drittserver. Die Frage lautet also: Werden IPs obfuskiert wie vorgeschrieben, welche Daten speichert der Dienstleister auf seinem Server, kümmert er sich um DSGVO-Compliance und wird gegebenenfalls ein Daten-Verabeitungs-Vertrag fällig?

    Einer der populärsten Anbieter ist Pushcrew, was vor allem daran liegt, dass man mit dem kostenlosen Account bis zu 2.000 Abonnenten beschicken kann. Die ausführlichen GDPR Informationen und die Roadmap bis zum 25. Mai stimmen zuversichtlich – hier hat sich ausnahmensweise ein nicht-europäisches Unternehmen proaktiv mit der Problematik beschäftigt. Im Account wählt man unter dem Punkt „Privacy Settings“ aus, ob IP Adressen (in obfuskierter Form, also ohne die letzten paar Stellen) und Locations der Subscriber überhaupt gespeichert werden sollen. Die Impressums-Recherche ergibt übrigens, dass Pushcrew ein Produtk des indischen IT-Dienstleisters Wingify mit Standorten in Delhi und Puna ist.

Ungeklärte Fragen

Was bedeutet die DSGVO für Embeds, Social Logins und Werbe-Elemente, die über Dritte eingebunden werden? Werden wir in Zukunft das Facebook Tracking Pixel überhaupt noch verwenden können? Nach derzeitigem Stand sind noch längst nicht alle Fragen abschließend geklärt.

Ich habe die oben erwähnten Punkte hier auf datenschmutz großteils umgesetzt. Alle Tracking-Pixel sind entfernt (FB, Doubleclick durch AdSense), Analytics wird anonymisiert. Die Kommentarfunktion und alle Formulare sind entsprechend umgebaut. Über Fonts und einige weitere technische Details muss ich mir derzeit keine Gedanken macht, das Enfold Theme wird rechtzeitig entsprechend angepasst.

  • Werbung, Counter von Drittseiten etc.

    In der Blogosphäre spielen Code-Snippets von Drittseiten eine wichtige Rolle. Aggregatoren und Influencer Agenturen messen damit die Reichweite des Blogs. Hat man Snippets etwa von Bloglovin, Blogheim.at oder ähnlichen Seiten eingebunden, ist darauf zu achten, dass der jeweilige Anbieter die IP-Adressen entsprechend anonymisiert. Das gleiche gilt für eingebundene Werbung, die von Dritt-Adservern ausgeliefert werden. Analog zu Analytics muss vermutlich mit jedem einzelnen Anbieter ein Vertrag über die Datenverarbeitung abgeschlossen werden – das könnte einige Geschäftsmodelle killen.

  • Andere Social Media Elemente und Embeds

    Offenbar eine der großen ungelösten Fragen. Es dürfte derzeit noch ungeklärt sein, ob ein Hinweis ausreicht, oder ob der Benutzer sogar aktiv einwilligen muss. Facebook hat zwar eine Stellungnahme veröffentlicht, aber die sagt rein gar nichts aus übers Tracking Pixel oder die verschiedenen Social Plugins. Bis zur weiteren Klärung empfehle ich, auf Social Plugins zu verzichten.

  • WordPress-Embeds

    WordPress unterstützt standardmäßig eine ganze Reihe von Open Embeds. Durch Einfügen des Links können Youtube Videos, Tweets, öffentliche Facebook Postings und eine ganze Reihe weitere Inhalte von Drittseiten eingebunden werden. Diese Inhalte werden bei jedem Seitenaufruf vom Server des Anbieters geladen, wodurch der die IP Adresse des Seitennutzers sowie den Referrer erhält – meiner Meinung nach unvereinbar mit dem DSGVO. Eine mögliche Lösung wären lokal gecachte Screenshots (analog zur Lazy Load Einbindung von Youtube Videos). Eine derartige technische Lösung ist mir bis dato nicht bekannt. Im Zweifelsfall wird uns wohl nichts anderes übrig bleiben, als sämtliche Embeds in Textlinks umzuwandeln.

  • CDNs

    [Update 13.3.2018] Content Distribution Networks verteilen Daten auf verschiedene Cloudserver – ein beträchtlicher Vorteil bei Multimedia-lastigen und internationalen Seiten, der die Ladegeschwindigkeit drastisch verringern kann. Aus diesem Grund unterstützen viele Caching-Plugins gängige CDNs, etwa die Amazon Cloud. Das Problem dabei: Die einzelnen Ressourcen werden von CDN-Servern geladen, die irgendwo auf der Welt stehen. Bereits beim Aufruf der Seiten gibt der Browser des Nutzers mindestens seine IP an den CDN-Betreiber weiter.

  • Social Logins

    Social Login Plugins bieten Nutzern die Möglichkeiten, sich via Facebook, Google+, Twitter etc. zu registrieren bzw. einzuloggen. Bei der technischen Implementierung wird es darauf ankommen, dass erst nach Zustimmung des Nutzers – also keinesfalls beispielsweise bereits beim Laden des Login-Formulars – 3rd Party Elemente mitgeladen werden. Dies technisch sicherzustellen, dürfte die Programmierkenntnisse vieler Blogger überfordern.

  • Social Locker

    [Update 13.3.2018] Der Social Locker von OnePress ist eine populäre Möglichkeit, die Nutzer für bestimmte Inhalte mit einem Like oder Tweet „bezahlen“ zu lassen. Allerdings bindet die Erweiterung das Facebook Widget ein – hier wäre zumindest nach Meinung deutscher Gerichte ein vorgelagertes Opt-In erforderlich. Mögliche, wenngleich wenig elegante Lösung: Eine Entrance Page á la „Bist du schon 18?“, die allen Social Locker Beiträgen vorgeschalten wird.

  • Wordfence / Security Plugins / IP Blacklisting

    [Update 21.3.2018] Einen Punkt, auf den mich Markus Pircher hingewiesen hat, habe ich bisher völlig übersehen: Die meisten Security-Plugins nützen neben diversen Monitoring-Mechanismen auch IP-Abgleiche, um diverse Angriffe abzuschwächen oder im Optimalfall zu unterbinden. Der populärste Vertreter dieser Gattung ist wohl Wordfence, das ich auch hier auf datenschmutz im Einsatz habe. Grundsätzlich halte ich es für keine besonders schlaue Idee, 2018 eine kommerzielle WordPress-Seite ohne WF oder gleichwertige Schutzmechanismen zu betreiben. Und ich wüsste nicht, wie man bestimmte Angriffe ohne IP-Abgleich sinnvoll abwehren könnte. Der Wordfence Support hat zwar angekündigt, Bestrebungen in Richtung GDPR Compliance zu unternehmen, allerdings ohne Details zu verraten.

    Das wirft zusätzlich eine generelle Frage auf: Inwieweit wird das Black-/Whitelisting von IPs durch diverse Security-/Spamabwehr-Plugins überhaupt noch zulässig sein? Wir haben es hier mit zwei grundsätzlich verschiedenen Problemkreisen zu tun: WordFence schickt verdächtige IPs an Drittserver in den USA und speichert zugleich lokale Blacklists. Die eigene Webseite vor Hackerangriffen und Spam-Attacken zu schützen, sollte zwar ein berechtigtes Interesse darstellen – aber ein Vertrag über die Datenverarbeitung, den Wordfence bislang nicht anbietet, wird kaum zu umgehen sein – auch in der Gratisversion des Plugins.

Nützliche Links zur DS-GVO

Viele Blogger machen sich Gedanken über eine korrekte Umsetzung der Bestimmungen – und stellen ebenso wie der Autor dieses Beitrags fest: Es wird immer komplizierter, je genauer man hinschaut. Wer sich umfassend informieren möchte, dem empfehle ich die folgenden Beiträge mit Tipps und Best Practices.

Abschließend sei noch gesagt, dass moderne Blogs sehr unterschiedlich aufgebaut sind und ganz verschiedene Technologien einsetzen. Jeder Betreiber wird also im Einzelfall genau überlegen müssen, wie welche Funktion Datenschutz-konform weitergenutzt werden kann oder vielleicht abgedreht werden muss. Über Ergänzungen, Anregungen und Fragen via Kommentarformular freue ich mich.


Titelbild: Piotr Marcinski / Fotolia
Schild-Icon: freepik / flaticon.com

159 Antworten
  1. Stefan says:

    Oha, das sieht nach viel Arbeit aus.

    Wie ist das, wenn ein Deutscher, wohnhaft in Thailand, eine Webseite auf Deutsch betreibt, auf der er u.a. auch Hotels.com empfiehlt? Die Adresse im Impressum ist in Thailand. Da müsste das doch gar nicht nötig sein, oder?

    Viele Grüße aus Mae Sai, der nördlichsten Stadt Thailands
    Stefan

    Antworten
  2. Katherina Ushachov says:

    Hallo!

    Wie ist es eigentlich, wenn man gar nicht selbst hostet? Brauche ich einen Vertrag mit Google Analytics für meine drei über WordPress betriebenen Seiten oder hat WordPress die schon? Ich habe ja gar keinen Einfluss auf die ganzen technischen Sachen, könnte also viele Dinge gar nicht selbstständig ändern.

    LG,
    Katherina

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Da bin ich überfragt, wie das mit Dritthostern läuft. Aber ich vermute mal, dass du als Betreiber für Google selbst zuständig bist. Um die Dinge, die Nutzer selbst nicht ändern bzw. beeinflussen können, muss ich wp.com kümmern – eventuell musst du dann mit denen einen solchen Nutzungsvertrag abschließen.

      Antworten
  3. Lars R. says:

    Hallo Herr Pettauer,

    Danke für die Zusammenfassung, da ich selber Websites betreibe und auch für Kunden erstelle, komme ich um das Thema nicht wirklich herum.

    Da hilft mir so eine Checkliste weiter.

    Auf was noch nicht eingegangen wurde, ist die SSL Verschlüsselung der Websites, wer einen WordPress Blog betreibt, für den habe ich dazu einen Artikel verfasst.

    https://www.der-lars.at/nur-7-schritte-um-wordpress-mit-plugin-auf-https-umzustellen/

    Ohne SSL Verschlüsselung bringen Zustimmungserklärungen usw. nichts, da die Daten dann unverschlüsselt übertragen werden.

    Dann einen Hinweis noch zu den Cookiehinweisen, diese überlagern oft den Impressumslink im Footer, welches dann nicht unmittelbar erreichbar ist, daher würde ich empfehlen einen Impressumslink auch in den Cookiehinweisbanner einzufügen.

    Zu der DSGVO:

    Was mich die ganze Zeit beschäftigt, ist die Frage ob IP-Adressen als personenbezogene Daten gelten oder nicht?
    Der Hintergrund: Viele Websites benötigen keine Kommentarfunktion und auch keine Kontaktformulare.
    Wenn ich jetzt nur einen Link zu meiner Facebook-Seite setze (kein Share oder Likebutton), keine Kommentarfunktion anbiete und Kontakt per E-Mail Link bzw. Telefon anbiete, auf Analytics verzichte und nichts einbette, dann sollte ich doch von der DSGVO und der Verzeichnispflicht nicht betroffen sein, oder?

    Ist dann nicht speziell für Blogs, aber eben für Firmenpräsentationen wie der Website für einen KFZ Betrieb gedacht.

    Wenn ich keine Daten erhebe, brauche ich mich ja auch nicht um dessen Schutz kümmern, wenn da nicht die Frage der IP-Adressen der Besucher im Raum stehen würde.

    Gruß
    Lars

    Antworten
  4. Vicky says:

    Ich habe eine Frage zum Google Analytics Vertrag. Im ersten Satz steht … Vertragstext zur Auftragsdatenverarbeitung nach deutschem Datenschutzrecht…
    Ist der Vertrag dann überhaupt auch in Österreich gültig oder gibt es da etwas länderspezifisches?

    Antworten
  5. Denise says:

    Danke für den ausführlichen Bericht – wenngleich mir die Materie noch nicht ganz klar ist. Benutze zB Blogger & die dort automatisch eingebundenen Funktionen. Hach… Will doch von niemandem Daten speichern, sondern nur als Hobby bloggen.

    Viele Grüße, Denise

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hallo Denise, bei Blogger ist mir nicht ganz klar, wie die das lösen werden – kann man auf Blogger noch kommentieren, ohne eingeloggt zu sein? Wenn Blogger ein Login verlangt, haben die die entsprechenden Passagen vermutlich in ihren AGBs drin. Ich denk aber, da musst du dir als Nutzerin nicht groß Gedanken machen.

      Antworten
  6. Anne says:

    Guten Morgen, Danke für diesen Beitrag.

    Ich habe eine kurze Frage zu meinem eigenen Fall: Ich betreibe einen privaten (im Sinne von nichtgewerblich) Blog über Blogger und schicke keine Cookies, sammle keine Daten, nutze kein Google Analytics (oder andere vergleichbare Angebote) und werde im Mai wegen fehlender SSL-Verschlüsselung auch das Kontaktformular von der Seite nehmen.

    Darf ich mir dann die nähere Auseinandersetzung mit der DSVGO sparen? Oder mache ich es mir zu leicht?

    Viele Grüße, Anne

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Wenn du überhaupt keine Werbung drauf hast (keine Affiliate Links und Banner) und das Blog rein privat ist und du alle Datenspeicherungen deaktiviert hast, dann kannst du die DSGVO getrost ignorieren! Ich würd allerdings trotzdem eine kurze Datenschutz-Erklärung online stellen – quasi den Inhalt des ersten Absatzes dieses Kommentars.

      Antworten
  7. L♥ebe was ist says:

    danke für diesen umfassenden Beitrag!

    ich bin soweit schon aufgerüstet … das einzige was nich fehlt, ist die Zustimmung zum Datenschutz mit dem Plugin! ich habe genau das empfohlene installiert auf meinem WP-Blog – aber leider wird vom Plugin kein Kontrollkästchen zum anklicken generiert und der Leser, der kommentieren woll bekommt immer einen Fehler angezeigt, dass er es noch anklicken soll …

    eigtl. sollte das Plugin ja leicht funktionieren und selbsterklärend sein – aber was mache ich denn falsch dabei???

    brauche dringend Hilfe! danke im Voraus :)

    liebste Grüße auch,
    Tina

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hallo Tina,

      freut mich, dass dir der Beitrag weitergeholfen hat!

      Zur Checkbox: Das liegt zu 90% an deinem Theme oder an Plugins, die etwas am Kommentarformular ändern. Ist leider etwas kompliziert, weil es für das WordPress Kommentar Formular kein Template gibt, sondern die Felder aus der functions.php heraus generiert werden. Aber Appsaloon sind da wirklich extrem hilfreich – schick Ihnen über das WordPress Support Forum eine Anfrage, die melden sich sehr schnell.

      Aber du hast es mittlerweile hinbekommen, oder? Hab grad dein Blog besucht. Btw: Respekt! Tolle Beiträge, hab grad den Weekender gelesen.

      Antworten
  8. Matthias says:

    Danke für den Beitrag. Man muss sich die Informationen wirklich krümmelweise überall zusammen suchen. Da hast du schon viel abgedeckt.

    Ich persönlich werde auf meinem Blog(s) so viel wie möglich abschalten.

    – Kein Sumo mehr
    – Kein Facebook Pixel (hatte ich eh nur kurz)
    – Kommentare nur ohne Mailadresse
    – Adsense via Deaktivierungslink im Impressum/Datenschutz
    – Analytics nur mit gekürzten IPs

    Zu denken geben mir die Einbettungen von Youtube Videos. Da muss ich nochmal ran … aber das warte ich erstmal ab.

    PS: Das du den Haken beim abonnieren des bulletins default-mässig gesetzt hast ist Absicht? :)

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hi Matthias, ich hab mich bemüht :) Und auch schon das meiste rausgeworfen. Sumo hab ich nie verwendet, Facebook Pixel und AdSense sind draußen (ich hatte 1 Square Banner im Sidebare, hat sowieso genau *nix* gebracht). Was die Youtube Videos (und andere Embeds) angeht, bin ich auch noch unschlüssig. Aber die Kommentare… das ist so eine Sache. Ohne E-Mail keine Notification, und die IP Adresse speichert WP ja trotzdem.

      Der Haken war ein Versehen – ich hatte vergessen, nach dem Testen wieder umzustellen. Danke für die Erinnerung!

      Antworten
      • Matthias says:

        War nicht böse gemeint mit dem Haken. Wunderte mich nur, weil du vorher so explizit auf nicht gesetzte Haken hingewiesen hattest :)

        Ja die IP in den Kommentaren ist mir auch aufgefallen. Was machst du mit den Server Logs? Die speichern ja auch IP Adressen beim Zugriff …

        Antworten
        • Ritchie Pettauer
          Ritchie Pettauer says:

          Hehe… kein Problem. Bin froh, weil da wird man selber immer leicht betriebsblind :)

          Die Serverlogs sind mir insofern relativ egal, weil ich eine Root-Kiste bei Hetzner stehen habe und die selber komplett abdrehen kann bzw. täglich löschen.

          Antworten
  9. Sina says:

    Ich habe nur einen 0815 Blog von WordPress, also das Basismodell wo man kaum Möglichkeiten hat, selbst technisch zu schrauben. Leider sind alle Checklisten immer nur für selbstgehostete Blogs, daher hänge ich mit meinem Wissen (egal wie wo was ich lese ich komme nicht weiter) noch ziemlich in der Luft. Google Analytics kann ich nicht nutzen, muss ich trotzdem einen Vertrag haben? Blogfoster etc habe ich angeschrieben nur da hieß es die Arbeiten an was. Tja… meinen Gravatar wollte ich löschen, geht aber nicht weg. Kontaktformular schmeiße ich raus. Was muss ich noch beachten?

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hi Sina, du meinst WordPress.com, oder? Soweit ich das beurteilen kann, werden die europäischen Nutzer vermutlich einen Vertrag mit WP.com abschließen müssen. Analytics und so weiter können dir egal sein, WP.com hat ein eigenes Tracking-System. Blogfoster hat das gleiche Problem wie alle Tracking-Pixel/Embeds. Einerseits soll die IP obfuskiert werden, andererseits ist dann keine sinnvolle Ermittlung von Unique Visitors möglich. Ich bin neugierig, wie die Plattformen dieses Dilemma lösen werden und was sich Blogfoster einfallen lässt.

      Antworten
      • Sina says:

        Genau ich habe WP com. Danke für die Antwort. Da gehe ich davon aus, dass WP uns so Verträge schickt? Weil wenn jeder dort kontaktiert wird das ja niemals was…

        Antworten
        • Ritchie Pettauer
          Ritchie Pettauer says:

          Ich hab dazu noch nichts gefunden, aber ich vermute, dass wp.com das ähnlich handhaben wird wie Mailchimp – mit einem digitalen Vertrag. Sonst wird das eine Mega-Papierschlacht!

          Antworten
          • Sina says:

            Eben das würde WP gar nicht auf die Reihe bekommen. Gerade habe ich aber gelesen, dass nur der Business Tarif wohl abgesichert wäre. Hmm.
            Ansonsten muss ich als 0815 WP com Mensch mich um die korrekte Datenschutzerklärung kümmern. Habe ich zwar schon geupdated, weiß aber nicht ob korrekt. Und diese Datenverarbeitungsliste da anlegen. Die verwahre ich bei mir in der Schublade?

          • Ritchie Pettauer
            Ritchie Pettauer says:

            Das ist schon heftig – wobei: erlaubt wp.com in der Free-Version eigentlich kommerzielle Seiten?

            @Datenverarbeitungsverzeichnis: Ja genau, das liegt in der Schublade und muss im Ernstfall on demand hergezeigt werden.

          • Sina says:

            Kommerziell wäre ja schon jeder, der etwas vorstellt oder testet und Marken benennt. Ich kenne mich damit nicht aus. Ich schätze entweder aufhören oder Business abschließen.

  10. Graziella says:

    Hallöchen,

    ich danke dir sehr für deinen ausführlichen Bericht, der mir sehr geholfen hat. Ich versuche gerade mit dem empfohlenen Plug-In die Kommentarfunktion zu überarbeiten aber ich finde einfach nicht, wo ich die Checkbox einfügen kann und wo ich den Hinweis als Text auf die Datenschutzrichtlinien eingeben kann. Kannst du mir bitte, bitte weiterhelfen, ich verzweifle gerade.

    Lieben Dank!

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hallo Graziella, sehr gern! Es gibt inzwischen noch ein Plugin: Probier mal WP GDPR [https://wordpress.org/plugins/wp-gdpr-core/] aus. Das fügt die Checkbox automatisch ein – wenn das bei dir nicht funktioniert, dann könnte es an der Implementierung der Kommentare in deinem Theme liegen. Den Datenschutzhinweis kannst du direkt am Einstellungs-Screen des Plugins editieren. Und ein Kommentar-Lösch-Interface ist auch noch integriert.

      Antworten
      • Graziella says:

        zu früh gefreut nun funktioniert alles und sieht auch ganz ok aus aaaaaber ich kann nicht mehr auf Kommentare antworten. Nicht im Beitrag selbst und auch nicht in WordPress, auf der WP App geht es auch nicht mehr. Woran kann das liegen, hast du ne Idee? Ich drehe echt noch durch Wenn ich das WP GDPR ausschalte, geht es, es muss also an diesem PlugIn liegen.

        Antworten
  11. Carolin says:

    Vielen Dank für diesen ausführlichen Beitrag! Da kommt noch einige Arbeit auf mich zu.
    Derzeit suche ich verzweifelt nach DSGVO kompatiblen Social Sharing Buttons. Jetzt nutze ich Social Warfare, AddToAny and Jquery Hover buttons. Leider hat mir noch keiner auf meine Anfragen per Email geantwortet. Gehe aber davon aus, dass diese Plugins bald nicht mehr gehen. Wird „Click-To-Tweet“ noch erlaubt sein?
    Die Share Button-Alternative, die ich bisher gefunden habe und die DSGVO konform ist, wäre Shariff. Aber nicht nur sind die Buttons häßlich, sie hatten auch seit 3 Jahren kein Update mehr.
    Ich wäre dankbar für Vorschläge!

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hallo Carolin, freut mich, dass dir der Beitrag gefällt – ist und bleibt ein „Work in Progress“; es kommen ja immer wieder neue Herausforderungen dazu :)

      Zuerst zur Click-to-Tweet Funktion: Die sollte kein Problem sein: das ist technisch gesehen nichts weiter als ein Hyperlink, der den Inhalt des Tweets mitgibt. Keine Datenübertragung bis zur tatsächlichen Nutzung.

      Bei den Sharing-Buttons liegt die Sache etwas komplizierter, da es unterschiedliche technische Implementierungsmöglichkeiten gibt. Die bloße Teilen-Funktion könnte man analog zum Click-to-Tweet über einen simplen Link anbieten. Schwieriger wirds bei den Countern – hängt dann im Detail davon ab, ob die gecacht werden oder ob das Plugin bei jedem Zugriff die aktuelle Zahl von den Social Networks abfragt. Leider findet man nicht mal eine Zeile Info in den offiziellen FAQs. Ich hab gerade ebenfalls eine Anfrage an den Warfare Plugins Support geschickt. Normalerweise sind die recht flott bei Pro-Usern. Sobald ich was erfahren, sag ich Bescheid.

      Antworten
      • Carolin says:

        Danke für die Antwort! Bin auch Social Warfare Pro User, aber warte noch immer auf Antwort. Hoffentlich gibt es die Möglichkeit, die Buttons weiter zu verwenden.

        Antworten
        • Ritchie Pettauer
          Ritchie Pettauer says:

          Gerne! Ja, das hoffe ich auch – hab bisher ebenfalls noch keine Antwort bekommen. Nicht unbedingt das beste Zeichen… aber wie gesagt: Grundsätzlich sind Sharing Buttons kein Problem, die lassen sich (wenn die Buttons nicht via iframe eingebunden sind) notfalls auch als simpler Text-Link realisieren.

          Antworten
      • Carolin says:

        Danke Chris!
        Werde wohl auf Shariff Wrapper umsteigen.

        P.S. Social Warfare hat zwar inzwischen geantwortet, schrieben aber, dass sie ja in den USA seien und daher nicht planen, etwas zu ändern.

        Antworten
  12. Nachtigaller says:

    Danke. Das liest sich alles sehr deprimierend.

    Jetzt muss man für ein olles Blog oder Forum schon Jura studieren.

    Und die Leute wundern sich, warum das Internet ausstirbt und nur noch aus Facebook und ähnlichen Monopol-Vereinen mit Rechtsabteilung besteht.

    Na, dem Datenschutz hat das aber geholfen. Nicht.

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Ja, das ist auch meine Hauptkritik an der DSGVO. Aber andererseits musste dieser Einschnitt irgendwann mal kommen. Ich hab das Safe Harbor Abkommen immer als Feigenblatt kritisiert. Nun haben wir aber das Problem, dass den meisten amerikanischen Anbieter die GDPR zwar nicht völlig egal ist, aber auch nicht gerade eine Herzensangelegenheit. WordPress im derzeitigen Auslieferungszustand ist ab 25. Mai mit hoher Wahrscheinlichkeit illegal, allein schon wegen der Emoji-Calls zu Akismet. Ob man wp.com Gratisblogs überhaupt noch verwenden kann, ist ebenfalls sehr zweifelhaft.

      Es ist eine unangenehme Übergangsphase, aber auf mittelfristige Sicht betrachtet ein erster und wichtiger Schritt in der Durchsetzung von Rechten, die großteils eh schon länger so bestehen, aber bislang eben zahnlos und nur am Papier. Nur blöderweise sind halt leider (Hobby) Blogger ganz besonders stark betroffen. Ich finde es sehr schade, dass manche deshalb aufhören wollen… leider müssen wir da wohl durch.

      Antworten
      • Carolin says:

        „WordPress im derzeitigen Auslieferungszustand ist ab 25. Mai mit hoher Wahrscheinlichkeit illegal“

        *kreisch*
        Meinst du, bei WordPress 5.0 ändert sich das? Soll ja auch im Frühjahr noch kommen.

        Antworten
        • Ritchie Pettauer
          Ritchie Pettauer says:

          Ich fürchte, in dieser Hinsicht wird sich nix ändern… maximal ein Europe-Plugin, das eine Menge (an sich nützlicher und sinnvoller Features) abdreht. Mindestens:

          * Emojis
          * Gravatar-Bildchen
          * Akismet

          Weil alle diese Services Daten an Auttomatic übertragen. Und hier wird und kann es keine Lösung mit einem Feigenblatt-Vertrag geben… Auttomatic würd sich ordentlich in den Fuß schießen, wenn sie das täten. WordPress ist ja eben kein kommerzielles Produkt, sondern Open Source Software – das wär rechtlich ein Wahnsinn, dafür GDPR-Haftung zu übernehmen.

          Je länger und intensiver ich mich mit dem Thema befasse, desto mehr wird mir die Komplexität bewusst – und dass viele Details wohl dann erst in der Praxis zu klären sind. Und dann steht die ePrivacy Richtlinie ja auch noch vor der Tür – wenn die in derselben Intenstität umgesetzt wird, können wir uns von Cookies und Tracking-System und jeglichen Auswertungen ganz verabschieden. *pessimism mode off* Aber es wird sich schon einpendeln. Ich lass mich nicht davon entmutigen, dass sich die Amis schon lauthals über Europa, das sich noch weiter ins Digital-Out schießt, lustig machen…

          Antworten
  13. Maike says:

    Hallo! Danke für den tollen Artikel – eine sehr gute und hilfreiche Zusammenfassung :-) Wir überlegen gerade, ob wir ein Live Chat Plugin installieren. Leider habe ich hierzu bis her sehr wenige Informationen zum Thema DGSVO im Netz gefunden. Kannst Du schon etwas zu den Plugins sagen, die Du getestet hast?
    Vielen Dank!
    Maike

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hallo Maike, danke für das Lob! Ich bin bisher noch am Testen… die zwei brauchbarsten (die keine 3rd Party Services) verwenden scheinen mir FluentChat und AwesomeChat zu sein. Zweiteres teste ich gerade. Da gibt’s zwar auch keine Checkbox, aber man kann zumindest einen Texthinweis einfügen. Wenn ich mit dem Testen fertig bin, werd ich einen Erfahrungsbericht online stellen.

      Antworten
  14. Susanne says:

    Wie ist es denn wenn der Domaininhaber und Besitzer des Webspace nicht die gleiche Person ist, die im Impressum steht? Wer muss denn dann die Verträge mit Google und dem Hoster abschließen?

    Antworten
  15. Ritchie Pettauer
    Ritchie Pettauer says:

    Update 16.3.2018: Ich habe die Checkliste um weitere Punkte ergänzt, unter anderem:

    * Deaktivierung von Remote Emojis
    * DV-Vertrag mit dem Hoster
    * Gravatar Bilder

    Außerdem finden Sie nun am Ende des Beitrags nützliche DSGVO Links.

    Antworten
  16. Stefanie says:

    Hallo Ritchie,

    vielen Dank für die Checkliste! Das ist ja Wahnsinn, ich fange gerade erst an mit meiner eigenen Webseite und dachte, ich hätte soweit jetzt alles abgedeckt. Dank deiner Liste weiß ich nun, dass ich weiterhin mit einem Bein im Knast stehe und Google einen Brief schicken muss (unter anderem). Ich bin wirklich gespannt, wo die Reise mit diesem Thema noch hingeht.

    Nochmals vielen Dank, du hast mir sehr geholfen!
    Stefanie

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hallo Stefanie, danke für das nette Feedback! Und mir geht es übrigens genauso – je länger ich mit dem Thema beschäftige, desto mehr Baustellen tauchen auf – ich hab bisher noch keine Beitrag so oft upgedatet wie diesen hier.

      Antworten
  17. tim says:

    Ein guter Anfang ist, wenn man sich https://www.wirspeichernnicht.de/ anschließt. Die Initiative macht sich stark dafür, dass überhaupt keine IP-Adressen gespeichert werden zum Schutze der User und stell dafür auch Anleitungen zur Verfügung. Wenn man erst mal alle Thirdparty-Tools (verschiedene Like-Buttons die nicht „zwei Klicks für mehr Privatssphäre“ oder auf Dinge wie den shariff setzen, analytics tools, etc.) eliminiert hat muss man sich dann nur noch um die Dinge auf dem eigenen Server kümmern, die dort beschrieben werden.
    Wichtig ist bei Webhostern anzufragen welche IP-Logs die erheben und ob sie das deaktivieren können.

    Der Haken „Zustimmung zur Datenspeicherung lt. DSGVO“ unter diesem Kommentar dürfte übrigens ungültig sein, weil die Verordnung explizit sagt, dass die Einwilligung des Users zum Speicher von nicht absolut notwendigen Daten nicht zur Voraussetzung für Teilnahme gemacht werden darf. D.h. Facebook darf demnächst nicht mehr auf Realnamen bestehen und dieser Blog darf nicht mehr die IP-Adresse länger als technisch notwendig speichern. In dem Sinne bekommt ihr mal euren Haken noch ;-).

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hallo Tim,

      über wirspeichernnicht.de kann ich nichts sagen, weil die Webseite gerade nicht erreichbar ist. Eine Initative, die sich „dafür stark macht, dass überhaupt keine IP Adressen gespeichert werden“, klingt für mich allerdings unfassbar realitätsfremd. Warum nicht gleich „Wir schalten das Internet ab“? Das http Protokoll beruht nun mal auf IP-Adressen… es gibt berechtigte Interessen, die der Speicherung von IP-Adressen ganz gravierend entgegen stehen. Oder denken Sie ernsthaft, die DSGVO macht Block-Blacklisten bei IP-Floods illegal? Ich hoffe nicht.

      Aus ähnlicher Motivation heraus deaktiviere ich hier die Speicherung von IP-Adressen mit Kommentaren nicht. Ich lösche die IP-Adressen nach 12 Monaten aus der DB. Aber ich möchte die Daten im Fall des Falles unbedingt parat haben – dafür gibt es gute Gründe, wenn man keine Registrierung fürs Kommentieren verlangt.

      Der Haken “Zustimmung zur Datenspeicherung lt. DSGVO” unter diesem Kommentar dürfte übrigens ungültig sein, weil die Verordnung explizit sagt, dass die Einwilligung des Users zum Speicher von nicht absolut notwendigen Daten nicht zur Voraussetzung für Teilnahme gemacht werden darf.

      Korrekt, man darf nur absolut notwendige Daten speichern. Ich betrachte die Speicherung der IP als absolut notwendig – aus den oben genannten Gründen. Deswegen verlinke ich im Checkbox-Hinweis auch auf den entsprechenden Passus in meiner Datenschutzerklärung, Sie können die entsprechende Passage hier nachlesen:
      https://datenschmutz.net/datenschutz/#kommentare-von-lesern

      Aber der entscheidende Begriff ist „dürfte“ – es ist momentan in der Tat sehr schwierig abzusehen, wie Gerichte die praktische Ausgestaltung ausjudizieren werden. Rechtssicherheit schaut jedenfalls anders aus.

      @Share Buttons: Shariff wird meiner Ansicht nach gravierend überbewertet, respektive entsteht dieses Missverständnis aus einer Verwechslung von Like- und Share-Buttons. Afaik wird der externe Like-Button schon längst nicht mehr offiziell von FB unterstützt. Und die Sharing Funktionalität lässt sich (mal abgesehen von schwindligen iFrame Lösungen und nicht-gecachten Countern) völlig DS-GVO konform mit nichts weiter als guten, alten a-hrefs umsetzen.

      @Facebook Realnamen: Dazu kann ich mangels Fachkompetenz nicht wirklich was sagen – meinem laienhaften Rechtsverständnis nach macht es aber sehr wohl einen gravierenden Unterschied, ob Nutzer bei der Registrierung eines Dienstes dessen AGBs zustimmen. Und selbst wenn nicht: FB könnte durchaus argumentieren, warum die Angabe des echten Namens eine notwendige Voraussetzung zur Teilnahme ist. Aber damit soll sich Zuck herumschlagen, mich interessieren nur die Implikationen der GDPR auf Blogs ;)

      Antworten
  18. Markus Pirchner says:

    Hallo Ritchie,
    einen Punkt vermisse ich schmerzlich in der ansonsten extrem hilfreichen Zusammenstellung: Wie lässt sich der Einsatz eines Sicherheits-Tools wie WordFence kompatibel mit der DSGVO gestalten? Da werden ja massiv IPs registriert und mit Daten auf den WordFence-Servern abgeglichen. Defiant hat angeblich versprochen, bis zum Stichtag eine GDPR-compliant Lösung fertig zu haben, aber wie die genau aussehen soll, ist noch unklar. Käme mMn einer mittleren Katastrophe gleich, wenn diese Schutzmauer gegen Hacker, Spammer etc. abgeschaltet werden müsste.
    LG und noch einmal danke für die tolle Kompilation.

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hi Markus,

      danke für den Reminder! Du hast vollkommen recht – ich dachte, ich hätte jetzt alles beisammen, aber WF (und ähnliche Systeme) hab ich vollkommen vergessen. In punkto mittlerer Katastrophe bin ich ganz deiner Meinung. Ein Teil der Funktionen wär zwar unkritisch (das Monitoring von möglicherweise fischigen Plugin-Aktionen, Checksums von Core Dateien etc.), aber ohne IP-basierte Filterung wird’s unlustig. Darf man eigentlich überhaupt noch IPs black- oder whitelisten? Ich werd das mal in die ungeklärten Punkte mit aufnehmen.

      Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      So, ich hab den Beitrag aktualisiert und WordFence bei den „ungeklärten Fragen“ aufgenommen. Und dabei ist mir auch noch das Thema CDNs eingefallen… ohne Vertrag ebenfalls nicht mehr nutzbar.

      Antworten
        • Ritchie Pettauer
          Ritchie Pettauer says:

          Heike, danke für den Reminder – an AMP hab ich bisher noch gar nicht gedacht. Die Thematik ist schwierig – weil:

          1. Du kommst im Normalfall nur auf die AMP-Seite, wenn du die Google-Suche am Smart-Device nützt. Sprich, du hast schon bevor die AMP-Seite überhaupt aufgerufen wird, deine IP „sowieso“ an Google übertragen – das konstituiert imho einen Spezialfall.
          2. Dahinter steht die Frage: „Betreibt“ man die AMP-Seite eigentlich selbst oder ist Google der Hoster & Verantwortliche? Meiner Meinung nach fällt der Datenschutz beim Aufruf der AMP-Seite nicht in die Verantwortung des Seitenbetreibers, weil die Seite *komplett* vom CDN kommt und man selbst als Betreiber keine IP-Übertragung beim Aufruf der eigenen URL „enabled“.
          3. Trotzdem besteht zumindest theoretisch die Möglichkeit, dass Nutzer AMP-Seiten direkt aufrufen, z.B. diese hier über den Link https://datenschmutz.net/dsgvo-checkliste-fuer-blogs/amp
            was wiederum Juristen beschäftigen könnte.
          4. UND: Die Google Analytics Vertrag gilt explizit NUR für GA und deckt AMP nicht ab.
          5. Natürlich könnte jetzt ein Jurist hergehen und sagen: Ich als Seitenbetreiber ermögliche Google überhaupt erst die Sammlung der IP, weil ich AMP aktiviert habe. Aber diese Argumentation KANN nicht halten, weil dann analog die gesamte Websuche unmöglich DSGVO-konform zu realisieren wäre.

          Spannende Problematik – ich werd das Thema vorerst mal noch nicht bei den „ungelösten Fragen“ eintragen, aber weitere Meinungen dazu einholen.

          Antworten
  19. Max says:

    Hallo Hr. Pettauer,

    ich spiele mit dem Gedanken einen privaten Blog zu betreiben auf dem ich über meine Hobbyfilm-Projekte und div. DIY-Projekte schreibe. Dabei werden auch von mir erstellte Videos und Fotos gepostet -> die Videos sollen über Vimeo eingebaut werden.

    Muss hier beim einbinden von Videos von externen Anbietern auch explizit eine Zustimmung geholt werden? Also zB ein Info-Popup dass der User erst Bestätigen muss um dann erst den Blogeintrag sehen zu dürfen?

    Bin grade am Überlegen ob es für ein Privatprojekt den Aufwand wert ist und ich lieber gleich nur ein Vimeo-Konto betreiben sollte.

    MfG

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hallo,

      das hängt davon ab, ob Vimeo sich dem Data Shield Abkommen unterwirft. Wenn ja, müsste ein ADV (Auftragsdatenvertrag) auseichen, wenn Vimeo einen solchen anbietet. Wenn nicht, könnte man die Einbindung meinem Verständnis nach ab 25.5. nicht mehr legal nutzen.

      Antworten
  20. Heike says:

    Hallo Ritchie,
    du schreibst irgendwo im Text, dass Du die IPs der Kommentatoren nach 12 Monaten löscht.
    Ich nehme nicht an, dass Du das per Hand machst, eher per SQL-Befehl, oder?
    Wie stellst du denn da ein, dass du nur die alten erwischt?
    Der von dir verlinkte SQL-Befehl löscht alle und nicht nur die älteren IPs und ich bin nicht so fit in diesem Thema, dass ich den Code selbständig erweitern kann…
    Magst du den von dir genutzten Befehl veröffentlichen?

    Vielen Dank schon mal & viele Grüße
    Heike

    Antworten
  21. Horst says:

    Das ist wirklich eine großartige Zusammenstellung der ganzen Problematik. Als etwas anderes mag ich diesen EU-Wahnsinn nämlich persönlich nicht betrachten. Ich hab ein paar kleine persönliche Blogs, in denen keinerlei Werbung vorkommt, die Google-Analytics-frei sind. Aber alle greifen auf Google Fonts zu. Speichern, weils ja WordPress ist die IP’s zu den (wenn vorhandenen) Kommentaren. Die Emojs und eingebettete Karten, Videos etc. sind vorhanden. Und so weiter.

    Eigentlich ist es doch so, dass man nach dem Termin mal alle Themes, die man vielleicht irgendwo gebunkert hat (Themeforest etc.) in die Tonne treten kann, weil die Autoren vermutlich die spezifisch europäischen Vorgaben überwiegend nicht umsetzen. Ich mag mich irren. Dazu zähle ich auch alle „kritischen“ Plugins, die mit irgendwelchen verbotenen Daten hantieren. Wer kann als unbedarfter User schon feststellen, welche Plugins welche Daten nach Hause schicken? Ich nicht.
    Was nur am Rande behandelt wird, ist die Frage, die bestimmt ganz viele kleine Blogger wie ich haben: Gilt das denn auch für einen Blog, der nichts anderes als Texte, Bilder, Videos postet und der keinerlei Werbeeinnahmen oder Kooperationen verzeichnet?
    Ich klicke jetzt hier mal „Zustimmung ….“, obwohl ich nicht die Hälfte all der Dinge, die vorher im Text vorkommen, verstanden habe.
    Ich möchte ungern politisch werden. Aber die Anwälte, die sich diesen Mist ausgedacht haben, sind bei der EU wirklich richtig.

    Jetzt hab ich genug geschimpft. Nochmals herzlichen Dank für die tolle Arbeit, die in dieses Projekt investiert wurde. Die Bloggergemeinde wird es zu schätzen wissen.

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hallo Horst, vielen Dank für das Lob! Was „alte“ Themes und Plugins betrifft (oder generell auch neue, deren US-Programmierern die GDPR einfach egal ist), wird man enorm viel ausmisten müssen, da irrst du dich garantiert nicht. Und wer hat schon Zeit, ein paar 1000 Unterseiten manuell mit Ghostery zu durchleuchten? (Könnte ja sein, dass irgendwo noch ein alter Werbe-Code rumhängt).

      Kleine Blogs sind raus, wenn die Betreiber 100ig argumentieren können, dass es sich um private Projekte handelt… sofern es keinerlei Koops oder Unternehmens-Inhalte gibt, müsste das auf jeden Fall durchgehen. Das Kriterium für gewerblich sind aber keinesfalls nur die Einnahmen, es darf wirklich *keinerlei* Inhalte, die man irgendwie als werblich klassifizieren könnte, geben.

      Antworten
  22. anonym says:

    Hey Ritchie, irgendwie ist das -fuer- aus der URL verschwunden wodurch jetzt einige Links auf deine Seite (auch Link in deinem eigenen Kommentar vom 21.03.2018 um 20:40 ) ins Leere laufen („Seite nicht gefunden“).

    Antworten
  23. Tina Gallinaro says:

    Hi Ritchie,
    nun wird es auch einmal für mich Zeit, dir für diesen sehr ausführlichen Beitrag zu bedanken.
    Wahnsinn, wie viel Mühe du dir da gemacht hast.
    Zur Zeit ändere ich auch sehr viel in meinem Blog, werfe die eingebettenen Postings von FB, Twitter und Co . raus, entferne die YouTube Videos und ersetze diese durch Bilder, die dann auf das jeweilige Posting oder zum jeweiligen Link führen.
    Die Hälfte von meinem Blog habe ich schon abgearbeitet ;-) Durch die Chrome Erweiterung Ghostery kann ich quasi nachvollziehen, von welcher Stelle aus getrackt wird. Demnach habe ich gestern auch Google Analytics den Laufpass gegeben. In 35 Tagen wird mein Analytics Konto endgültig gelöscht. Hab das Ganze eh nie so richtig verstanden :-)

    Richtige Bauchschmerzen bekomme ich aber noch wegen dem Plugin mit der Checkbox für die Kommentare. Ich hatte das WP GDPR Compliance Plugin empfohlen bekommen, dieses scheint sich aber nicht mit meinem Theme zu vertragen, denn die „Checkbox“ wurde in voller Breite angezeigt (kein kleines Kästchen) – eine passende Lösung per CSS vorerst nicht in Sicht, weil sich die Entwickler in Schweigen hüllen :-( Ich habe Google auch schon halb leer gesucht, alles was ich dazu entdecken konnte, dass viele Anwender ein anderes Theme genommen haben – und dann funktioniert es. Komischerweise funktioniert es auf meinem privaten Blog..
    Nun, bei dir entdecke ich nun das andere WP GDPR Plugin https://wordpress.org/plugins/wp-gdpr-core/. Demnach ist es eine Besserung zu dem anderen Plugin, oder was was meinst du dazu? Und – was mache ich, wenn dieses Plugin ebenfalls nicht das tut, was es eigentlich soll: Nämlich eine kleine Checkbox zum anklicken anzeigen. Gäbe es dann noch eine weitere Alternative, außer mir ein neues Theme zuzulegen?
    LG Tina

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hallo Tina, dankeschön! Ja, das ist ein bisschen ausgeufert :) Wenn du nicht wirklich mit Analytics arbeitest, macht’s sowieso Sinn, den Code zu entfernen. Es gibt ja auch ganz nette lokale Alternativen – und in Wahrheit braucht eh kaum ein Webmaster diese ganzen Datengebirge, die Analytics aufbaut (oder hat Zeit, sich das alles im Detail anzusehen).

      Zur Checkbox: Gute Nachrichten! Die Funktionalität wird vermutlich in den WordPress Core integriert, dann bräuchtest du gar kein Plugin mehr dafür. Wird aber noch ein paar Wochen dauern:
      https://datenschmutz.net/dsgvo-update-wordpress-core/

      Ansonsten würd ich auf jeden Fall GDPR-Core emfehlen – die sind auch super-flink beim Beantworten von Support-Anfragen und ich find dieses Plugin generell besser, auch wegen des integrierten Lösch-Anfragen-Interfaces. Aber ich bin nicht ganz unparteiisch, hab die deutsche Übersetzung dafür gemacht :)

      Das Problem liegt vermutlich daran, dass das Kommentar-Formular aus der functions.php heraus generiert wird, und die ist Theme-abhängig. Aber wie gesagt, bis zum 25. kann WP vermutlich die Checkbox schon selbst einfügen.

      Antworten
      • Tina says:

        Uih, das wäre echt cool, wenn demnächst von WordPress aus diese Funktion hinzukäme, dankeschön für die Info.. Den anderen Beitrag sehe ich mir auch gleich mal an..
        LG Tina

        Antworten
  24. Alex says:

    Hallo,
    vielen Dank erstmal für diese großartigen Tipps.
    Ich betreibe bei wordpress.org eine Website, die ich bei united-domains hoste. Neben Google Analytics (werde ich abschalten) & Google Fonts (wird intern eingebunden) habe ich relativ wenige Dinge auf der Seite die mir Bedenken machen. Auf einer Seite befindet sich jedoch ein Gästebuch (gwolle Plugin) wo Name & Website angegeben werden können. Muss ich deswegen, oder vielleicht aus anderen Gründen, die mir bisher nicht klar sind, einen Datenverarbeitungs-Vertrag abschließen und ein Verfahrensverzeichnis anlegen?

    Grüße,
    Alex

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hi Alex, danke für das nette Feedback!

      Zu deiner Frage: Soweit ich das verstanden habe, wird beim Betrieb einer (kommerziellen) Webseite quasi zwangsläufig ein Verarbeitungsverzeichnis fällig – sozusagen unabhängig davon, was auf der Seite tatsächlich passiert. (Persönliche Meinung: Und um im Zweifelsfall belegen zu können, dass mit den Daten „nix Böses“ passiert.) Und schon allein die Existenz von Server-Logs dürfte dazu ausreichen, dass man mit dem Hoster ein DVA abschließen muss.

      Das gwolle Plugin kenn ich nicht, ich hab’s mir gerade im Repository angesehen. Der Autor dürfte die Software recht gut betreuen – meinem Verständnis nach müsstest du auch bei einem solchen Gästebuch ab 25.5. eine zusätzliche Einwilligungs-Checkbox einbauen, analog zu Kommentaren. Im Zweifelsfall würd ich mal im Support Forum nachfragen.

      Antworten
  25. Winfried says:

    Hallo Ritchie,

    schönen Dank für die vielen Informationen. Je mehr ich lese, umso schwieriger erscheint mir das neue Gesetz umzusetzen.

    Deshalb eine Frage:
    Du schreibst zur
    „…Vorbeugung vor automatisierten Abmahn-Wellen möchte ich Ihnen an dieser Stelle zusätzlich ans Herz legen: Stellen Sie Ihre Datenschutz-Erklärung auf „noindex“, sodass sie von Google nicht in der Suche angezeigt wird. “

    Leider versteht ich das nicht, auch wenn es vielleicht ganz banal ist und für Fachleute Schneklkopfen auslöst? Wo stelle ich „noindex“ ein? Auf meinem Blog in der Programmierung? In der Datenschutzerklärung? Ist das ein plugin? Und wie geht das bei WordPress? Wie gesagt, vielleicht ganz banale Sache, aber bei mir klingelt da nichts.

    Schönen Dank und
    beste Grüße
    Winfried

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hi Winfried, „noindex“ ist ein Metatag, der Google mitteile, dass eine Seite nicht indexiert werden soll. Das stellst du in deinem SEO-Plugin ein, z.B. wpseo oder Yoast. Das verhindert, dass Bots, die nach bestimmten Formulierungen im Google-Index suchen, die eigenen Seite auf diesem Weg finden.

      Antworten
      • Winfried says:

        Hallo Ritchie,

        bedankt!!! Hab ich nun installiert und ausgeführt.
        Und dann bitte noch die Frage. Wie hast du dein Kommentarfeld mit Zustimmung l. DSGVO, neue Kommentare abonnieren usw. erstellt. Da gibt es sicher auch ein Plug in für?
        Herzliche Grüße und tausend Dank für die vielen Infos und Deinen Einsatz!
        Winfried

        Antworten
  26. ska says:

    Es ist sicherlich am Besten, wenn man sich möglichst an den Empfehlungen der Behörden orientiert. Die veröffenlichen ja zunehmend Anforderungen und Muster. Zum Beispiel:

    https://www.lda.bayern.de/de/kleine-unternehmen.html

    Gibt es eine Quelle für die Behauptung, dass eine DSFA erst ab 10 Personen erstellt werden muss? Meines Wissens ist dort das Risiko entscheidend.

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Ja, auf jeden Fall – die Dokumente unter deinem Link sind wirklich gut aufbereitet. Zur 10-Personen-Thematik kann ich nichts sagen, außer, dass das so in der DSGVO nicht drinsteht. Da ist das Kriterium der primäre Unternehmenszweck.

      Antworten
  27. Jan says:

    Was ist eigentlich, wenn sich die „betroffene Person“ außerhalb der EU befindet? Darf eine deutsche Webseite personalisierte Werbung an z.B. einen Amerikaner ohne dessen Einwilligung ausliefern?

    Wenn nicht, dann wären alle nicht-europäischen Publisher im Vorteil gegenüber ihren EU-Kollegen.

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Das ist eine gute Frage… aber tendenziell eher nein, weil: Du müsstest ja dein Angebot von vornherein trennen können und schon beim Aufruf der Seite wissen, ob sich jemand inner- oder außerhalb der EU befindet. Ich vermute mal, dass Geo-Splitting aufgrund der IP zu riskant wäre bzw. man damit eine Abmahnung riskieren könnte. Theoretisch gilt die DSGVO ja sehr wohl für ausländische Publisher, deren Webseiten sich an eine europäisches Publikum richten. In der Praxis wird’s aber wohl auf eine starke Benachteiligung europäischer Publisher rauslaufen.

      Antworten
  28. Veronika Vetter says:

    Hallo, ich kann mir kaum vorstellen, dass die obige Checkliste für Blogger gilt. Sonst würde Lieschen Müller mit ihrem Katzenblog gleichgestellt mit Facebook & Co.

    Außerdem wundere ich mich wieder einmal über den vorauseilenden Gehorsam der Deutschen. Konnte ich als Bürger der BRD irgendwann darüber abstimmen, ob ich das DSGVO befürworte? Wenn ja, wann und wie? Oder wurde die Verordnung wieder einmal von EU-Lobbyisten geschrieben, um das Leben von unabhängigen Nachrichtenquellen zu erschweren?

    Es betrifft mich persönlich nicht wirklich, ich frage ja nur. Denn es ist wirklich lustig, wie viel Hinweisbanner auf deutschen Webseiten leuchten, die vielleicht 20 Aufrufe am Tag haben.

    Es scheint, dass die Deutschen mittlerweile völlig degeneriert sind und wie die Amerikaner für alles ein Hinweisfenster benötigen: „Rauchen kann tatsächlich gefährlich sein“, „Der Inhalt in diesem Kaffeebecher ist heiß“, „Wer im Internet surft gibt Daten von sich Preis und wählt dadurch Donald Trump“ …

    Abschließend noch eine Frage an den Webmaster dieser schönen Seite:
    Wenn ich auf Spiegel-Online surfe, erscheint bei mir kein Hinweisbanner darüber, dass die Seite Cookies verwendet. Wenn ich dort einen Kommentar schreibe, dann muss ich auch nicht zustimmen, dass meine Daten lt. DSGVO gespeichert werden. Ich logge mich einfach mit meinen Facebook-Daten bei SPON ein und kann sofort kommentieren. Merken Sie was?

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Liebe Frau Vetter,

      ich verstehe Ihren Ärger durchaus, allerdings gilt die DSGVO für Liesche Müller und ihr Katzenblog tatsächlich – und zwar dann, wenn Lieschen Müller auch ab und an mal Katzenprodukte testet und/oder auch nur einen einzigen Werbebanner auf ihrer Seite hat. Nur tatsächlich private (nicht im Sinne von nicht-öffentliche, sondern nicht-kommerzielle) Webseiten sind ausgenommen.

      Konnte ich als Bürger der BRD irgendwann darüber abstimmen, ob ich das DSGVO befürworte?

      Die EU ist nicht die Schweiz :) In einer repräsentativen Demokratie wird man sich durchaus an Gesetze halten müssen, die man nicht selbst mitbeschlossen hat. Und was den vorauseilenden Gehorsam betrifft: Ich fand und finde den vorgeschriebenen Banner-Hinweis lächerlich und wirkungslos – hier wird die ePrivacy Richtlinie ab 2019 nachbessern. Aber die DSGVO sehe ich als Versuch, Online-Business auf eine solide, nachvollziehbare Grundlage zu stellen. Eigentlich ein längst überfälliger Schritt. Diese Hinweise sind ja nur ein Teil der Gesamtbildes. Sich darüber Gedanken machen zu müssen, ob und an welchen Stellen Daten an Dritte weitergegeben werden, ist an sich eine sinnvolle Sache.

      Zu Spon: Ja, Sie da haben Sie völlig recht – kein Cookie-Hinweis und 21 Tracker:

      Spon Tracker

      Würde mich sehr überraschen, wenn Spon bis zum 25. Mai nichts an der Seite ändert – die DSGVO gilt ja noch gar nicht. Ich bin hier bloß am Experimentieren, wie man die Änderungen am sinnvollsten implementieren kann. Das Facebook-Login ist meiner Ansicht nach übrigens ein Sonderfall und erfordert keine Zustimmung (die haben Sie ja schon mit der FB-Registrierung gegeben).

      Antworten
  29. Chris says:

    Hallo Ritchie, danke für diesen Artikel. Der hat mir bisher bei dieser Sache am besten weitergeholfen. Ich habe ihn auch schon weiter empfohlen. Super Sache! Echt! Aber eine kleine Frage hätte ich noch: Ich habe vor einigen Jahren mit Google bereits einen Vertrag wegen Google Analytics abgeschlossen. Muss ich das jetzt wegen der DSGVO nochmal machen, weil der Vertrag neue/geänderte Bestandteile hat? Weißt du das? Schöne Grüße :-)

    Antworten
  30. Raphael says:

    Danke für die wirklich interessante Zusammenstellung. Eine Sache, die ich derzeit nicht verstehe, die mich aber meine Kunden garantiert fragen werden (ich bin Webdesigner): Was mache ich -z. B- als Betreiber einer Zahnarztwebseite – wenn mich jemand anschreibt und „seine“ Daten gelöscht haben will.

    Ich gehe davon aus, dass 99,99% der kleinen Webseitenbetreiber nicht im geringsten die Tools und das technische Know-How für das Thema haben. Wie soll also jemand, der wirklich andere Sorgen hat (z. B. besagter Zahnarzt) mit so einer Frage umgehen?

    Und wie stelle ich – als Webdesigner – wiederum dem besagten Zahnarzt ein Verarbeitungsverzeichnis zur Verfügung? Das kann ich ja nicht für jeden Kunden coden, da muss es doch fertige Lösungen geben, die man per plug&play installiert und das war es dann auch.

    Das würde mich beides sehr interessieren, ich denke, da bin ich nicht der Einzige, der sich so etwas fragt.

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hallo Raphael, danke für das Lob! Zur Datenlöschung: Die lässt sich nicht so ohne weiteres in eine Standard-Lösung packen, weil die Implementierungen einfach zu unterschiedlich sind. Man wird nicht drum herumkommen, in jedem Einzelfall festzustellen, wo Daten gespeichert werden (das kann ja schon bei einem simplen Formular ausarten – stehen die Daten in der DB, wird eine E-Mail verschickt, wie wird das E-Mail weiterverareitet, hat der Zahnarzt eine digitale Patientenkartei, wie ist die Anbindung etc.)

      Was WordPress betrifft, lässt sich die Löschung/Anonymisierung von Kommentar-Daten relativ einfach via Plugin bewerkstelligen. Für alle weiteren Onsite-Speicher-Szenarien implementiere die Entwickler gerade einen neuen „Privacy Layer“ mit entsprechenden Hooks. Das Problem dabei: Plugin-Autoren müssten ihre Software entsprechend anpassen, und das werden bei weitem nicht alle tun.

      Das Verarbeitungsverzeichnis kannst du als Webdesigner deinem Kunden gar nicht zur Verfügung stellen – du weißt ja in der Regel nicht, was „außerhalb“ der Seite weiter mit den Daten passiert. Du könntest lediglich den Webseiten-Teil abdecken und dem Kunden die Informationen für die Onsite-Speicherungen als Teil des Verabeitungsverzeichnisses liefern.

      Antworten
      • Raphael says:

        Hallo Ritchie,
        danke für die Antwort. Ich möchte nochmals auf mein Szenario zurückkommen: Die simple Zahaztseite. Das bedeutet doch in der Praxis, dass in Zukunft jeder Kunde, der z. B. unzufrieden ist, eine Firma mit Löschanträgen nerven kann. Gut organisiert kann man ja sogar Konkurrenten damit in den Ruin treiben. Wenn es kein Standardprocedere gibt, sondern jeder Fall manuell untersucht werden muss, entsteht ja pro Löschantrag ein Aufwand, der in keinem Verhältnis zum Ergebnis steht. Das kann ja wohl nicht Sinn der DSGVO sein.

        Antworten
        • Ritchie Pettauer
          Ritchie Pettauer says:

          Ja, aber genau das ist der Fall. Wobei der Aufwand ja nicht sooo hoch sein sollte: Auch der Zahnarzt, der wenig mit IT am Hut hat, sollte doch wissen, wo er seine Patientendaten gespeichert hat. Wobei da zumindest in Österreich die elektronische Krankenakte ebenfalls reinspielen dürfte, und eventuell stehen im Fall eines Arztes auch andere Aufbewahrungsrechte der sofortigen Löschung gegenüber.

          Antworten
  31. Gartenblogger Hanns says:

    Hallo,

    danke für die sehr informative Seite.
    Zum Plugin Antispam-Bee:
    Da gibt es auch das Häckchen bei: IP-Adresse des Kommentators validieren.
    Möglicherweise am besten auch deaktivieren?

    Noch ein Hinweis: ich bin mit dem IE 11 unterwegs.
    Da wird dein Hinweis „Durch das Anhaken der folgenden Checkbox erlaube ich …“ quer über das Kommentarfeld als Transparenter Overlay gelegt. Dadurch sind auch die Folgenden Feldbezeichnungen fas nicht erkennbar. Evtl. nicht so beabsichtigt!?
    Wenn du magst, schicke ich dir einen Screenshot.

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hallo Hanns, ich hab nochmal nachgeschaut – diese Funktion macht lediglich DNS-Abfragen. (Quelle: http://torstenlandsiedel.de/2016/06/27/antispam-bee-richtig-konfigurieren/)

      Die IP-Adresse des Kommmentators validieren ist wieder so eine kryptische Funktion. Die Funktion nimmt die IP-Adresse des Kommentators und löst sie zu einem Hostnamen auf, dann nimmt sie diesen Hostnamen und löst diesen wiederum zu einer IP-Adresse auf. Am Ende wird verglichen, ob die zu diesem Host gemeldete IP mit der ursprünglichen IP übereinstimmt. Die Idee wäre großartig, wenn es da nicht Techniken wie Load Balancer gäbe, die zu einem Hostnamen mehrere IP-Adressen (aka Rechner) haben, auf die sie Last der Anfragen verteilen. Da kann es passieren, dass unterschiedliche IPs ausgegeben werden. Daher diesen Punkt lieber deaktivieren.

      Und danke für den IE-Hinweis, hab ich grad reproduziert… das schaut ja furchtbar aus, ich werd eine CSS-Weiche einbauen.

      UPDATE: Boah. Bin schon lange nicht mehr in die Untiefen des IE CSS hinabgestiegen… falls mal jemand ähnliche Probleme hat – diese CSS-Weiche funktioniert super für IE10/11:

      @media all and (-ms-high-contrast: none), (-ms-high-contrast: active) {
      /* IE10+ CSS styles go here */
      }

      Antworten
  32. Ralph says:

    Ich dachte bisher, dass ich mich wirklich gut im Web auskenne, aber gerade diese juristischen Fallstricke sind der Wahnsinn. Wirklich tolle Checkliste. Ich bin seit 1996 im Web aktiv, aber so einen Angriff auf das freie Web gab es m.E. noch nie. Und das unter dem Deckmantel des Datenschutzes :-(.

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hallo Ralph, dankeschön! Ich seh die DSGVO als zweischneidiges Schwert – irgendwas musste da mal passieren. Der problematischste Punkt imho (und dadurch erfolgt auch der Angriff aufs freie Web) ist die völlig falsche Entscheidung, dass IP Adressen persönliche Daten wären. Die sind eben NICHT rückverfolgbar, wenn man nicht zufällig gerade Richter ist. Ohne die IP-Kompomenten wären die infrastrukturellen Auswirkungen ziemlich minimal. Ich hoffe, dass der Gesetzgeber hier nachbessert.

      Antworten
  33. Sandro says:

    Hi,

    super Beitrag, danke dafür. Weiß jemand von euch eigentlich, wie es mit Google Charts aussieht? Werden hier vorher Informationen wie IP und Location an Google übertragen? Meiner Meinung nach schon, denn man hat ja die Spracherkennung im Code aufgrund der Herkunft.

    Danke und beste Grüße
    Sandro

    Antworten
  34. Nora says:

    Hallo,
    ich habe einen Buchblog und bin jetzt etwas überfragt. Ich speichere keine personenbezogene Daten o.ä. Die Verantwortung dafür muss in meinen Augen Google bzw. Blogspot tragen. Ist das korrekt?
    Was ist denn dann für meinen Blog relevant? Es ist nämlich ebenfalls so, dass ich all meine Bilder die ich auf meinem Blog verwende, selbst mache und von Veranstaltungen nur Bilder hochlade, wenn fotografieren erlaubt war.

    Ich wäre dankbar wenn mal jemand schauen würde.

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hallo Nora, du wirst um eine Datenschutz-Erklärung auf keinen Fall rumkommen. Ansonsten bin ich mit Blogspot aber überfragt… hab zwar versucht zu recherchieren, aber keine brauchbaren Infos gefunden bisher.

      Antworten
  35. Hendrik says:

    Hallo! Eigentlich hat man ja schon gar keine Lust mehr auf’s Bloggen, wenn man sich das lles so durchschaut…
    Den Abschnitt zu Gravatar verstehe ich nicht. Einerseits wird die Mail gehasht, andererseits sei aber gerade das das Problem. Außerdem kann ich die Funktion deaktivieren aber Du machst das nicht, sondern weist auf den Umstand hin? Ich komme da nicht mit.

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hallo Hendrik, ich hab den Hinweis rausgenommen – das Problem ist nicht nur, dass man die gehashten Werte Seiten-übergreifend tracken kann, sondern eben auch, dass die IP des Nutzers zu den Gravatar-Servern übertragen wird. Ich mag die Bildchen wirklich gern & werd sie vermissen, aber zum 25.5. dann abdrehen. Es gibt auch keinen Ersatz – weil lokale Avatare ja eine Registrierung voraussetzen.

      Antworten
  36. Tim Kaufmann says:

    Also ich bin sehr zwiegespalten bei dieser Liste. Auf der einen Seite enthält sie viele wichtige Punkte. Sie geben Anlass darüber nachzudenken, ob man das jeweilige Feature wirklich braucht, führen vielleicht zu einer gewissen Datensparsamkeit und das ist ja einer der Zwecke der DSGVO. Was mir aber gar nicht gefällt ist der Eindruck, der sich beim Lesen aufdrängt: nämlich dass vieles „verboten“ ist.

    Grundsätzlich sagt die DSGVO: das Speichern von Daten ist grundsätzlich verboten, es sei denn es ist erlaubt. Dann führt sie einige Erlaubnistatbestände ein. Einer davon ist der des berechtigten Interesses. Beispiel Gravatar: wenn ich dokumentiere, dass ich das einsetze, um mein Blog besser lesbar zu machen, damit die Attraktivität und die Besucherzahlen zu steigern und dass das mein berechtigtes Interesse ist, dann kann das durchaus in der bisherigen Form in Ordnung sein, sofern man das Prozedere in der Datenschutzerklärung dokumentiert. So ist das an vielen Stellen. Das Entscheidende an diesem Erlaubnistatbestand ist die Gegenprüfung: kann die betroffene Person (also: unsere Besucher) die Verarbeitung vernünftigerweise erwarten? Wenn ja, dann ist die Verarbeitung ok. Und auch da sage ich: das kann man in den meisten Fällen mit „Ja“ beantworten. Schaut euch doch an, wie gängig Gravatare (und viele andere Features, wie zum Beispiel euch Embeds) sind, da kann man ja nicht plötzlich sagen, dass man beim Besuch einer Website nicht mit sowas rechnen konnte.

    Zum Weiterlesen empfehle ich die Datenschutzerklärung wie sie e-recht24 erstellt. Da kann man in vielen Passagen nachlesen, wie berechtigtes Interesse für einzelne Features dokumentiert werden kann.

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Grundsätzlich hast du ja recht. Aber was wirklich als „berechtigtes Interesse“ gilt, werden wir erst in ein paar Wochen wissen – ich neige da durchaus zur Vorsicht. Gerade im Fall von Gravatar kann ich mir schwer vorstellen, dass das Argument hält – die betroffene Person kann kaum erwarten, dass ihre IP an Auttomatic Server übertragen wird, speziell dann nicht, wenn sie vielleicht überhaupt keinen Gravatar nutzt. Das Problem ist: Es gibt hier kein Opt-Out (und keinen DVV). Den Generator von e-recht24 kenn ich nicht. Wenn ich schon bezahle, dann aber lieber gleich für eine angepasste Erklärung von Anwalt und nicht für ein paar Textbausteine.

      Antworten
      • Scotty1928 says:

        Ich halte die Nutzung von Gravatar weiterhin für problemlos machbar. Kommentieren an sich ist bereits ein Opt-In, und wenn dann da noch die Checkbox mit Hinweis(link) ist… Warum nicht? Man hat ja den Gravatar selbst erstellt.

        Antworten
  37. Barbara says:

    Vielen lieben Dank für diese sehr hilfreiche Checkliste! Ich habe anhand der Liste schon einiges abgearbeitet. Wobei ich mir noch unschlüssig bin, ist die Einbindung von Google Maps. Statt der bisherigen Map könnte ich ja einen Screenschot einbinden mit Link zu Google Maps – aber darf man das? Hast du da genauere Infos oder sonstige Ideen? openstreetmap ist ja datenschutzrechtlich wohl auch keine Alternative.
    Herzliche Grüße, Barbara

    Antworten
      • Ritchie Pettauer
        Ritchie Pettauer says:

        Ja, da ist Google ziemlich strikt. Eventuell ist das bei Open Streetmap erlaubt, hab ich noch nicht recherchiert. Ansonsten ist die Lizenzierung von Kartenverlagen meistens recht teuer.

        Antworten
  38. Carolin says:

    Hallo Ritchie,
    Social Warfare schrieb mir
    „Social Warfare doesn’t collect, store, or send information about your visitors until they’ve physically clicked the share button.“
    Wäre es dann ok, es weiter zu nutzen, eventuall mit Hinweis? Es geht doch darum, dass Webseitenbesucher zur Datennutzung aktiv einwilligen, was sich mit dem Anklicken ja tun.

    Leider fehlt mir das Fachwissen, juristisch und technisch, um selbst genau zu wissen, was ich DSGVO-konform nutzen kann und was nicht.

    Beste Grüße

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hi Carolin, danke für die Info – ich hab von Social Warfare noch immer nix zurückbekommen. Grundsätzlich entspricht die Antwort eh dem, was ich erwartet habe. Grundsätzlich dürfte der aktive Klick meinem Verständnis nach durchwegs als „Einverständnis“ ausreichen – macht Shariff ja auch nicht anders. Und die Counters werden gecached. Ich seh eigentlich keinen Grund, der gegen Social Warfare spräche… hoffe, das bleibt so.

      Wobei ich auch von anderen Plugin-Programmierern ähnliche Standardantwort bekommen habe, die nach eigener Überprüfung allerdings nicht unbedingt den Tatsachen entsprechen. Die Crux liegt ja in der Formulierung „Das Plugin speichert keine Userdaten“; dass oft trotzdem im Hintergrund auf CDN Server von Dritten zugegriffen wird, lässt man dann halt gerne mal unter den Tisch fallen…

      Antworten
  39. Frank says:

    Ich werde wohl meinen Blog einfach einen Tag vor dem Termin abschalten. Es ist einfach eine zusätzliche Belastung für mich, auf die ich keine Lust habe. Ich sehe es auch nicht ein, warum es mir als europäischer Mitbürger künstlich schwer gemacht wird Informationen im Internet bereitzustellen.

    Antworten
    • mike says:

      Einfach alles überregulieren. Die Großen können jetzt die Konkurrenz, die enstehen könnte schon im Keim ersticken.
      Die Großen werden damit keine Probleme haben. Der Einmannbetrieb, kleine Handwerker usw. aber schon.
      Auftragsdatenverarbeitung mit Hostern wenn man eine Homepage hat.
      Typischer Fall von „gut gemeint“ und die Kleinen gut weggebombt.
      Alles nur weil solche vereine wie Facebook alles ausgelotet haben was geht und schon zig mal absolut verwerfliche Dinger gestartet haben.

      Antworten
  40. Webdesign Magdeburg says:

    Ich habe keine Lust mehr…..
    Seit Jahren arbeite ich im Netz. Habe aktuell etwa 30 Seiten online. Blogs , Shops und staatische Seiten. Wenn ich mir überlge, diese alle anzupassen, sitze ich mindestesn ein Jahr daran, keine Lust dazu !!!!
    Ich werde so wie es aussieht alles platt machen und verkaufen und nur noch meine Hauptdfomain behalten, alles andere strengt mich zu sehr an und liegt nicht in der Relation zum Gewinn.

    Wie sieht es eigentlich mit Google Adsense aus, muss da auch reagiert werden ?

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Ein paar alte Seiten, um die ich mich eh schon länger nicht mehr gekümmert hab, werd ich ebenfalls abschalten bzw. hinter htaccess Logins legen. Aber die werden weder mir noch sonst wem fehlen :)

      Zu AdSense hab ich am Google Watchblog folgende Information gefunden:

      Als Betreiber des weltweit größten Werbenetzwerks hat Google nun angekündigt, dass man die Verantwortung zur Befragung der Nutzer auf die eigenen AdSense-Kunden abwälzen wird. Die Webmaster werden dafür sorgen müssen, dass die Surfer der personenbezogenen Werbung zustimmen oder eben nicht zustimmen werden. Wichtig ist aber, dass sie vorher gefragt werden. Sollten sie zustimmen, bleibt alles beim alten. Stimmen sie nicht zu, liefert das Google Werbenetzwerk nur noch „neutrale“ Banner ohne Bezug zum Surfer aus.

      Wie das technisch genau im Detail funktioniert, kann ich mir nicht vorstellen – letztendlich dürften ja auch bei der neutralen Werbung keinerlei Trackingpixel enthalten sein… ein leidiges Thema, mit dem ich nicht im Detail herumschlagen werd müssen, weil ich kein AdSense verwende (und meine Kunden ebenfalls nicht.)

      Antworten
      • Webdesigner Magdeburg says:

        Danke für die Antwort,
        hier werde ich die nächsten Wochen abwarten.
        Das Amazon Partnerprogramm sollte aber sicher sein, so denke ich.

        Wenn ich das bisher richtig verstanden habe, ist aber der Fokus auf Formularen und Tracker oder nicht ?

        Antworten
        • Ritchie Pettauer
          Ritchie Pettauer says:

          Ja, grundsätzlich liegt der Fokus auf jeder Art der Datenübertragung, bei der der Nutzer vorher nicht zugestimmt hat. Bei Amazon Textlinks sehe ich überhaupt kein Problem. Allerdings liefert die API auch Fotos (einer der Hauptvorteile bzw. Gründe, die API zu nutzen, abgesehen von der Daten-Aktualität). Diese Bilder liegen aber auf CDN-Servern von Amazon, sodass hier die IP-Adresse des Nutzers beim Laden mitübertragen wird.

          Antworten
  41. Hendrik says:

    Danke für den Beitrag!
    Für mich relevant ist in erster Linie alles um die Kommentarfunktion. Hier sind bei mir aktuell nur Name und Kommentar obligatorisch. Der Nutzer kann aber auch eMail und Website eingeben. IP wird nicht gespeichert. Nur noch ein Timestamp. Das würde ich gerne auch so lassen, aber: Wie kann denn jemand nachweisen, dass er seinen Kommentar löschen lassen möchte, wenn ich keine eMailAdresse als Beweis habe. Hat hier jemand ne Idee? Muss ich die doch auch immer abfragen? Vor dem Hintergrund der Datensparsamkjeit ja auch wieder blödsinnig…

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Da, da hasst du völlig recht – da beißt sich die DSGVO-Katze in den Schwanz. Ich wüsste nicht, wie man ohne Angabe einer E-Mail eine Löschung möglich machen sollte… man könnte vielleicht das E-Mail Feld ganz weglassen und den Namen ebenfalls. Oder den Nutzer zustimmen lassen, dass er einen frei erfundenen, nicht zuordenbaren Nicknamen verwenden muss. Aber dann ist halt wiederum auch keine E-Mail-Kommentar-Notification möglich.

      Antworten
  42. Leo says:

    Danke für den tollen, informativen Artikel!

    Ich beiße mir gerade die Zähne an eingebetteten YT-Videos aus. Dieses „Erweiterter Datenschutz“ Häkchen ist ja auch nur da, damit es da ist. Bringen tuts nur Nichts. Gravatar, Fonts und Jetpack sind bereits verbannt.

    Eine andere Frage: ich verdiene mit meiner Seite kein Geld. Kein Werbebanner oder affiliate Link. Wie weit greift hier die DSGVO? Muss ich hier wirklich alles penibel einhalten? (Wenn nein, hast du da eine Quelle?)

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hi Leo, dankeschön! Die Sache mit den YT Videos ist sehr mühsam – dem erweiterten Datenschutzmodus trau ich ebenfalls nicht. Eine 100%ig wasserdichte Variante ist Lazyload mit Caching vermutlich auch nicht. Interessant finde ich den Ansatz von Borlabs Cookie, die Inhalte erst nach dem Klicken zu laden: Demo.

      Zum Geltungsbereich: Grundsäztlich gilt die DSGVO für „rein private“ Webseiten nicht. Die Definition im Geltungsbereich ist „ausschließlich persönliche und familiäre Tätigkeiten“. Im Einzelfall wird’s dabei wohl auf die Bewertung durch Juristen ankommen. Zitat aus der WKO Info über den Geltungsbereich:

      Verarbeiten natürliche Personen personenbezogene Daten ausschließlich zur Ausübung persönlicher und familiärer Tätigkeiten, gilt die DSGVO nicht (Beispiel: Privatpersonen nutzen soziale Netzwerke).

      Antworten
  43. Eileen says:

    Hallo und danke für deine tolle Arbeit. Mir platzt ehrlich gesagt gleich der Kopf. Ich befasse mich seit Wochen damit und irgendwie finde ich immer wieder was neues. Ich habe einen kostenlosen Blog bei WordPress.com. Ich route also nix selber. Da ich über u.A. selbst gekaufte Produkte schreibe, ist meine Seite nicht rein privat. Ich habe alle Social-Media Buttons entfernt, habe kein eigenes Google Analytics-Konto. Die Kommentarfunktion unter Beiträgen habe ich noch drin, aber man kann kommentieren ohne Angabe von Email oder Namen. Und die Abo-Funktion ist noch drin. Ghostery zeigt mir als Tracker u.a. trotzdem Twitter Button, Gravatar und auch Google Analytics an. Da ich das selber nicht ändern kann, max. noch Kommentarfunktion ausstellen, was ich blöd fände, heißt das für mich, ich muss die Seite zum 25.5. schließen.

    Antworten
    • Eileen says:

      Ach ja und ein Vertrag mit Google kann ich nicht abschließen, da ich kein Google-Analytics konnte habe, was Voraussetzung ist. Mir schwirrt es im Kopf.

      Antworten
  44. Winfried says:

    Auf der Suche nach einem Cookie- Hinweis für zwei ältere statische Seiten (wo ein Plugin nicht möglich ist), fand ich hier Hilfe:
    https://www.mbm-webdesign.de/cookie-hinweis-script/.

    Obwohl ich mich nur wenig mit html-Programmierung auskenne, habe ich die Dinger eingebaut bekommen und sie funzen. :)
    Lediglich auf einem Rechner (von mehreren), auf dem ich das Ganze dann getestet habe, mußte ich vorher die alten Cookies zu der Seite löschen, dann hat’s auch da geklappt.
    Ihr könnt auch einen link zu eurer Datenschutzerklärung einfügen.

    Den Martin, der das gebastelt hat, könnt Ihr auch per Kommentar mail befragen. An ihn nochmal schönen Dank fürs einstellen.

    Antworten
  45. Nana Shac says:

    Hallo Ritchie,

    vielen Dank für diesen sehr ausführlichen und vor allem immer aktuellen Artikel. Ich habe hierdurch viele Anregungen bekommen und überarbeite gerade meinen eigenen Blog.
    Um meinen Bloggerkolleg*innen ebenfalls über die DSGVO in Kenntnis zu setzen, habe ich einen (sehr rudimentären) Artikel verfasst und auf Deinen verlinkt:
    http://www.theujulala.de/dsgvo-ab-25-mai-2018/

    Herzlichst Nana

    Antworten
  46. Katja Heil says:

    Lieben Dank Ritchie für diese grandiose Zusammenfassung!

    Eine Frage bleibt bei mir noch offen: Ich veröffentliche Bilder auf meinem Blog, die Fotografen eingereicht haben. Es handelt sich im Hochzeiten. Dabei sind das Paar, hin und wieder aber auch Gäste zu sehen.

    Bislang haben mir die Fotografen versichert, dass sie die Zustimmung der Paare haben, die Bilder zeigen/veröffentlichen zu dürfen. Wird dies auch in Zukunft ausreichen? Oder müsste ich mit jeder gezeigten Person ein Release vereinbaren?
    Was mache ich denn mit den alten Beiträgen im Archiv. Alles Löschen?

    Schwierig, schwierig. Ich habs so viel gelesen darüber, aber bislang keine wirkliche Antwort gefunden. Hast Du ne Einschätzung?
    Lieben Gruß,
    Katja

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hallo Katja, danke für das grandiose Feedback :)

      Die Sache mit den Fotos ist eines der großen ungelösten Mysterien. Ich verfolge nebenbei ein paar Fotografen-Gruppen mit. Und da schwant nicht nur mir nichts Gutes – es scheint tatsächlich so zu sein, dass die DSGVO in wesentlichen Punkten mit Bildrechten bzw. Model-Verträgen kollidiert. Speziell in punkto Rücknahme des Einerständnisses. Wie das in der Praxis gelöst wird, darauf scheint’s bisher noch überhaupt keine Antworten zu geben.

      Ich vermute aber, dass du in Zukunft ohne schriftliche Vereinbarung kaum auskommen wirst. Die Frage ist dann allerdings, ob es ein berechtigtes Interesse gibt, dass dem Widerruf entgegen steht. Ansonsten wir das ganze kaum handhabbar sein.

      Antworten
        • Ritchie Pettauer
          Ritchie Pettauer says:

          Ja, alles bleibt spannend – das macht die DSGVO zur großen Unbekannten… die Regelungen sind ja an sich recht klar, aber wo berechtigtes Interesse beginnt und endet, werden die Gerichte in jedem Land wohl dezent unterschiedlich entscheiden.

          Antworten
  47. Eileen says:

    Hallo, ich nochmal. Ich bin ja bei WordPress.com und da kam man leider einige Sache nicht selber ändern. Kritisch bleibt hier weiterhin Askimet, jetpack. Aber in einigen Blogs wurde gesagt, das an der DSVGO-Konformität gearbeitet wird. Wenn nicht, kann ich den Blog zum 25.5. erstmal abschalten.
    Ich hätte da noch ne Frage zu Facebook-Plugin. Das offizielle Plugin habe ich entfernt und nun ein Bild mit einem Link zu der entsprechenden Facebookseite eingefügt. Ist das konform?

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Hallo Eileen, ich hoffe ja immer noch, dass wp.com noch rechtzeitig alles auf die Reihe kriegt – wär sehr schade um jedes einzelne Blog. Nicht gerade förderlich für die Medienvielfalt…

      @Facebook-Einbindung: Ja, diese Variante ist absolut konform – das Bild liegt ja auf deinem eigenen Server und beim Aufruf der Seite findet keine IP-Übertragung statt. Gute Idee, die Fanbox so zu ersetzen.

      Antworten
  48. Boris says:

    So, jetzt habe ich neben zahlreichen anderen auch diesen Artikel nebst den meisten Kommentaren gelesen und stelle fest, dass der rechtssichere Betrieb selbst eines privaten (Foto-)Blogs kaum mehr möglich ist. Zumindest nicht ohne erheblichen Aufwand und selbst dann bleiben wohl viele Aspekte ungewiss – bis man irgendwann von Abmahngeiern, die sicher schon dabei sind, sich gewinnträchtige Strategien zurecht zu legen, kostenpflichtig auf diese Aspekte hingewiesen wird.
    Ich werde wohl mein Blog entweder vorläufig komplett abschalten oder wenigstens die Kommentarfunktion deaktivieren, bis sich die Sachlage aufklärt und klare, rechtssichere Lösungen erkennbar sind. Im zweiten Fall liefe das Blog dann eben rein passiv weiter ohne jede protokollierte nutzerseitige Interaktion.

    Antworten
  49. Wolfram says:

    Hallo, ich hätte mal gerne die Quelle, dass ein Cookie-Hinweis rechtlich vorgeschrieben ist. Meines Wissens kommt die Pflicht dazu erst mit der ePrivacy-Richtlinie, die es noch nicht gibt.

    Grüße,
    Wolfram

    Antworten
  50. Karen Heyer says:

    Hallo Ritchie,
    nachdem ich schon einige Male hier vorbeigeschaut habe, möchte ich ein großes Lob aussprechen für die Recherche und die tolle Zusammenstellung!
    In den letzten Wochen habe ich mich sehr viel mit der DSGVO und den dafür erforderlichen Anpassungen bei mir im Blog beschäftigt. Das Einzige, was ich bisher nicht zufriedenstellend umsetzen konnte, war solch ein hübscher und vorbildlicher Kommentarbereich wie der Deinige. Das ist doch nicht alleine dem Plugin WP GDPR geschuldet, oder? Das hat sich bei mir ungefragt ins Hauptmenü geschummelt, so das ich es wieder deaktiviert habe. Und die Auswahl, welche Kommentare abonniert werden können, habe ich nicht gefunden.
    Viele Grüße
    Karen

    Antworten

Hinterlassen Sie einen Kommentar

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Die DSGVO Checkbox ist ein Pflichtfeld.

*

Zustimmung zur Datenspeicherung lt. DSGVO

Möchten Sie neue Kommentare abonnieren?
Wann möchten Sie Ihre Benachrichtungen erhalten?