Wie setzte ich die DSGVO für mein Blog um?

DSGVO Checkliste für Blogger: Wie setze ich die Datenschutz-Grundverordnung für mein Weblog um?

2016 hat die EU die neue Datenschutzgrundverordnung beschlossen, am 25. Mai 2018 tritt sie in Kraft. Die Panik im Vorfeld ist beträchtlich, was nicht durchaus mit den vorgesehenen Strafen zu tun hat: Bis zu 20 Millionen Euro bzw. 4% des Konzernumsatzes zahlt außer den Big Playern wohl niemand mal schnell so nebenbei aus der Portokassa. Was in größeren Unternehmen ein klassisches Thema für die Rechtsabteilung darstellt, ist für kleinere Unternehmer sowie Blogger durchaus eine beträchtliche Herausforderung.

Welche Schritte müssen Blogger im Detail setzen, damit ihre Seite ab 25. Mai den Anforderungen der DSVGO entspricht? Gleich vorweg: Mit einem Update der Privacy Policy ist es nicht getan. Formulare, Recht auf Auskunft/Löschung und Integrationen mit 3rd Party Services müssen auf jeden Fall überarbeitet bzw. angepasst werden.

DISCLAIMER

Dieser Artikel stellt keine Rechtsberatung dar. Ich habe mich mit den Bestimmungen der DSGVO zwar intensiv beschäftigt, um die entsprechenden Regelungen für meine Blogs umsetzen zu können, bin aber weder Jurist noch Datenschutzexperte. Obwohl ich mit aller angemessenen Sorgfalt auf die Richtigkeit der veröffentlichten Informationen achte, kann hinsichtlich der inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen sowie für allfällige Rechtsfolgen, die sich aus der Umsetzung dieser Informationen ergeben, keinerlei Gewähr übernommen werden.

Was ist die DSVGO?

Die Datenschutz-Grundverordnung gilt EU-weit und ist in jedem Mitgliedsstaat unmittelbar anwendbar. Sie enthält jedoch etliche Spielräume, die national ausgestaltet werden können, was in Österreich durch das Datenschutz Anpassungsgesetz 2018 (eine Novelle zum DSG 2000), geschehen ist.

Der vollständige Titel des Regelwerks lautet Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). Ziel ist die Stärkung der Privatsphäre und mehr Kontrolle über persönliche Daten. Betroffen ist jedes Unternehmen, das in *irgendeiner* Form Datenverarbeitung betreibt – und sei es bloß ein Kontaktformular auf der Homepage.

Ab 25. Mai entfallen zwar die Meldepflicht bei der Datenschutzbehörde und der zugehörige Eintrag im Datenverarbeitungsregister, dafür tragen Auftraggeber und Dienstleister weit höhere Verantwortung.

Es sind geeignete technische und organisatorische Maßnahmen und Verfahren (z.B. Pseudonymisierung) zu treffen, damit die Verarbeitung den Anforderungen der Verordnung genügt und die Rechte der betroffenen Personen geschützt werden. Datenschutzrechtliche Voreinstellungen sollen sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

Privacy by Design / Privacy by Default sind gefordert, gespeichert werden darf nur, was für die jeweilige Datenverarbeitungstätigkeit notwendig ist. Zusätzlich ist die Führung eines sogenannten “Verarbeitungsverzeichnisses” gefordert, auch für Unternehmen unter 250 Mitarbeitern. Außer, wenn:

  • die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt,
  • die Verarbeitung nur gelegentlich erfolgt und
  • die Verarbeitung keine sensiblen Daten bzw. keine Daten über strafrechtliche Verurteilungen beinhaltet.

Dies dürfte die meisten Blogger also nicht betreffen – ich kann mir nicht vorstellen, dass die Anmeldung zu einem Newsletter oder das Verfassen eines Kommentars Rechte und Freiheiten bedroht bzw. E-Mail und Name sensible Daten darstellen.


Update 6.2.2018: Wie Rechtsanwalt und DSGVO-Experte Mag. Peter Harlander (lawoffice.at als Kommentar zu meinem Facebook-Update geschrieben hat, gilt für Blogger offenbar sehr wohl die Verpflichtung eines solchen Verarbeitungsverzeichnisses:

Blogger müssen definitiv ein Verfahrensverzeichnis führen. “Nur gelegentliche Verarbeitung” liegt dank Webanalyse / Kommentarfunktion / Newsletter etc nicht vor. Damit kein genereller Entfall der Pflicht zur Führung eines Verarbeitungsverzeichnisses. (Artikel 30 Abs. 5 ist in der Verordnung unrichtig übersetzt und daher missverständlich.)

Wie kann so ein Verzeichnis denn ausschauen? Die WKO hat eine hilfreiche Vorlage.


Auch die vorgeschriebene Datenschutz-Folgenabschätzung und die verpflichtende Einsetzung eines Datenschutzbeauftragten trifft nur Unternehmen, deren Kerntätigkeit in der Durchführung von Datenverarbeitung besteht oder die mehr als 10 Mitarbeiter haben.

Je nach Geschäftsmodell müssen Online-Shops, Community-Betreiber und App-Anbieter an unterschiedlichen Stellschrauben drehen. Rein private Blogs dürften wenig zu befürchten haben, sobald jedoch auch nur ein einziger Banner, Affiliate oder Testbericht auftaucht, spricht der Gesetzgeber von Gewinnabsicht bzw. einer gewinnorientierten Seite – unabhängig, ob diese von einem Unternehmen oder einer Privatperson betrieben wird, greifen in diesem Fall die neuen Bestimmungen.

DSVGO Checkliste: Was muss ich tun, damit mein Blog alle Bestimmungen erfüllt?

Jeder Betreiber eines Weblogs wird sich mindestens Gedanken über die folgenden drei Bereiche machen müssen:

  1. Anpassung der Datenschutzerklärung
  2. Umgang mit Drittanbieter-Services
  3. Datenerfassung- und Speicherung

Die folgende Checkliste umfasst Punkte, die in jedem Fall abgearbeitet werden müssen, erhebt jedoch keinen Anspruch auf Vollständigkeit.

Kann ich meine Seite mit einem Plugin DSGVO-kompatibel machen?

Nein. Die DSVGO heißt auf Englisch GDPR (General Data Protection Regulation), und man findet im offiziellen Repository sehr wohl ein solches Plugin. WP GDPR Compliance unterstützt WooCommerce, die WordPress Kommentarfunktion und Contact Form 7 und gibt Compliance-Tipps. Das Plugin ist aber KEINE All-in-One Lösung, sondern setzt nur zwei der unten gelisteten Punkte um – und die Kommentar-Compliance bringt WordPress hoffentlich bis spätestens 24.5. im Core mit.

Und dann gibt es da noch All-in-One GDPR auf Codecanyon – ein Plugin ohne Demo und nähere Beschreibung um “günstige” $210 (bisher 0 Verkäufe). Die Screenshots legen nahe, dass es in erster Linie um Privacy-Präferenzen für registrierte Nutzer geht.

Also kurz gesagt: Eine 1-Klick-Implementierung ist nicht in Sicht. Es gibt diverse Plugins, die einzelnen Aspekte regeln. Meine Favoriten habe ich in der nachfolgenden Checkliste verlinkt.

  • Checkliste: DSGVO Compliance für Blogs

  • Sichtbarkeit des Datenschutzhinweises

    Sollte klar ersichtlich und leicht erreichbar sein. Ein Link im Footer sollte reichen, einen Link Above-the-Fold zu integrieren, kann sicher nicht schaden.

  • Inhalt der Datenschutzerklärung

    Standard-Texte tun’s nicht mehr: Die Datenschutzerklärung muss eine individuelle Ausgestaltung vorweisen. Auf den Einsatz externer Dienste ist verpflichtend hinzuweisen, sofern durch den Aufruf der Seite personenbezogene Daten erhoben werden. Ein anpassbares Muster (individualisierte DS-Erklärung erforderlich!) hat die WKO.

  • SSL Verschlüsselung

    Die DSGVO schreibt SSL Verschlüsselung zwar nicht explizit vor. Ohne wird sich aber eine sichere Datenübertragung (beispielsweise für Formular-Nachrichten oder Kommentare) nicht realisieren lassen. Neben der DSGVO sprechen noch viele andere sehr gute Gründe für den Umstieg auf https. Seit Let’s Encrypt kostenlose Zertifikate vergibt, gibt es überhaupt keine Ausrede mehr. Die Umstellung von WordPress erfolgt entweder händisch (mit Search and Replace in der Datenbank und Anpassung der htaccess) oder via Plugin. Diese Anleitung beschreibt die notwendigen Schritte. Scheitert das Installieren eines Zertifikats am Hoster, dann wäre es an der Zeit, diesen auch gleich zu wechseln.

  • Cookiehinweis

    Schon länger vorgeschrieben, daran ändert sich nichts. Etliche Plugins bieten ihre Dienste an, ich bin ausgesprochen zufrieden mit Cookie Consent von Catapult Themes.

  • Recht auf Löschung/Berichtigung

    Nutzer, deren personenbezogene Daten gespeichert werden, müssen jederzeit die Möglichkeit haben, die Löschung dieser Daten zu verlangen. Ein entsprechender Hinweis und ein rechtssicheres Impressum mit Kontaktmöglichkeit sollten diese Anforderung abdecken. Im Falle des Falles hat dann folgendes zu geschehen:

    Die betroffene Person ist von der durchgeführten Maßnahme zu informieren. Dies hat schriftlich zu erfolgen, und zwar in einer kompakten, transparenten, verständlichen und leicht zugänglichen Form. Elektronische Medien (vor allem E-Mail) können insbesondere dann verwendet werden, wenn der Antrag elektronisch gestellt wurde.

  • Formulare

    Die meisten Blogs verwenden zumindest ein Kontaktformular, eventuell kommen so wie hier auf datenschmutz auch weitere Formulare (für Gewinnspiele, Artikelfeedback etc.) zum Einsatz. Werden mittels Formularen Daten erhoben und gespeichert (zum Beispiel durch ein Formular-Plugin, das alle Einträge auch in der Datenbank speichert), so muss der Nutzer dazu explizit seine Einwilligung erteilen. Eine entsprechende Checkbox zur Einholung der Zustimmung des Nutzers (darf standardmäßig nicht angehakt sein) ist die sicherste Art der Umsetzung.

  • Newsletter

    Wer einen Newsletter anbietet und für den Versand einen Drittanbieter wie Mailchimp oder Aweber nutzt, muss eine ganze Reihe von Vorgaben beachten. Mailchimp hat sich dem Privacy Shield Abkommen unterworfen, der Abschluss eines Datenverarbeitungsvertrages sowie ein deutlicher Hinweis bei der Anmeldung sind zukünftig verpflichtend. Eine hervorragende Anleitung mit Mustertexten finden Sie bei Rechtsanwalt Dr. Schwenke.

  • Share Buttons am Blog

    Die DSGVO bedeutet durchwegs nicht das Ende aller Share-Buttons. Allerdings dürfen keinerlei Daten des Webseitenbesuchers ohne dessen Zustimmung erhoben bzw. übertragen werden. Das bedeutet, man muss eine technische Implementation wählen, bei erst dann Daten übertragen werden, wenn der Besucher die Share-Funktion auch tatsächlich nutzt.

  • Google Analytics Vertrag

    Neben dem verpflichtenden Hinweis auf den Einsatz von Google Analytics sowie einer inkludierten Opt-Out Möglichkeit ist ZWINGEND ein Vertrag zur Auftragsdatenverarbeitung mit Google abzuschließen. Die entsprechende PDF-Vorlage findet man hier. Der Vertrag ist zweimal auszudrucken und unterschrieben an Google Irland (Adresse im Dokument) zu schicken.

  • Google Analytics Opt-Out Option

    Die Opt-Out Funktionalität lässt sich am einfachsten mit dem Plugin GA Opt-Out realisieren oder mit einem Hinweis auf entsprechende Browser-Extensions. Sinnvollerweise wird man den entsprechenden Code an passender Stelle innerhalb der Datenschutzbestimmungen einbauen.

  • Google Analytics IP-Anonymisierung

    Wie man die IPs anonymisiert, hängt von der Art der Tracking-Code Einbindung ab. Wer den Tracking-Code direkt einbindet, fügt die Funktion anonymizeIP zu. WordPress Plugins (ich empfehle GA Dashboard for WordPress) verfügen in der Regel über eine entsprechende Option. Dritte Möglichkeit ist die entsprechende Konfiguration des Tag Managers.

  • Kommentarfunktion

    Da die Veröffentlichung eines Kommentars einen aktiven Akt darstellt mit dem Ziel, die betreffenden Informationen frei zugänglich ins Netz zu stellen, könnte wohl davon ausgegangen werden, dass keine zusätzliches Opt-In Checkbox erforderlich ist. Ein Hinweis zur Datenspeicherung (idealerweise mit Link auf Datenschutz-Policy) muss aber auch an dieser Stelle angebracht werden. Ich habe mich auch hier für eine verpflichtende Checkbox entschieden (implementiert als Custom Field mit WP Discuz.

  • User-Registrierung

    Bietet ein Blog die Möglichkeit der Registrierung an, so dürfen nur jene Daten gespeichert werden, die mit für die angestrebte Funktionalität erforderlich sind. Bei einer Community-Seite, die personalisierte Geburtstagswünsche verschickt oder regionalisierte Newsletter, wird die Speicherung der betreffenden Daten durchaus Sinn machen. Das Einverständnis des Nutzers und ein Hinweis auf die Datenschutzerklärung sind in jedem Fall erforderlich.

Ungeklärte Fragen

Was bedeutet die DSGVO für Embeds, Social Logins und Werbe-Elemente, die über Dritte eingebunden werden? Werden wir in Zukunft das Facebook Tracking Pixel überhaupt noch verwenden können? Nach derzeitigem Stand sind noch längst nicht alle Fragen abschließend geklärt.

Ich habe die oben erwähnten Punkte hier auf datenschmutz natürlich umgesetzt. Das FB Pixel werde ich am 25. Mai entfernen und gegebenenfalls sämtliche Embeds deaktivieren. (Praktischerweise bringt mein Caching-Plugin WP-Rocket eine derartige Option mit)

  • Werbung, Counter von Drittseiten etc.

    In der Blogosphäre spielen Code-Snippets von Drittseiten eine wichtige Rolle. Aggregatoren und Influencer Agenturen messen damit die Reichweite des Blogs. Hat man Snippets etwa von Bloglovin, Blogheim.at oder ähnlichen Seiten eingebunden, ist darauf zu achten, dass der jeweilige Anbieter die IP-Adressen entsprechend anonymisiert. Das gleiche gilt für eingebundene Werbung, die von Dritt-Adservern ausgeliefert werden. Analog zu Analytics muss vermutlich mit jedem einzelnen Anbieter ein Vertrag über die Datenverarbeitung abgeschlossen werden – das könnte einige Geschäftsmodelle killen.

  • Andere Social Media Elemente und Embeds

    Offenbar eine der großen ungelösten Fragen. Es dürfte derzeit noch ungeklärt sein, ob ein Hinweis ausreicht, oder ob der Benutzer sogar aktiv einwilligen muss. Facebook hat zwar eine Stellungnahme veröffentlicht, aber die sagt rein gar nichts aus übers Tracking Pixel oder die verschiedenen Social Plugins. Bis zur weiteren Klärung empfehle ich, auf Social Plugins zu verzichten.

  • WordPress-Embeds

    WordPress unterstützt standardmäßig eine ganze Reihe von Open Embeds. Durch Einfügen des Links können Youtube Videos, Tweets, öffentliche Facebook Postings und eine ganze Reihe weitere Inhalte von Drittseiten eingebunden werden. Diese Inhalte werden bei jedem Seitenaufruf vom Server des Anbieters geladen, wodurch der die IP Adresse des Seitennutzers sowie den Referrer erhält – meiner Meinung nach unvereinbar mit dem DSGVO. Eine mögliche Lösung wären lokal gecachte Screenshots (analog zur Lazy Load Einbindung von Youtube Videos). Eine derartige technische Lösung ist mir bis dato nicht bekannt. Im Zweifelsfall wird uns wohl nichts anderes übrig bleiben, als sämtliche Embeds in Textlinks umzuwandeln.

  • Social Logins

    Social Login Plugins bieten Nutzern die Möglichkeiten, sich via Facebook, Google+, Twitter etc. zu registrieren bzw. einzuloggen. Bei der technischen Implementierung wird es darauf ankommen, dass erst nach Zustimmung des Nutzers – also keinesfalls beispielsweise bereits beim Laden des Login-Formulars – 3rd Party Elemente mitgeladen werden. Dies technisch sicherzustellen, dürfte die Programmierkenntnisse vieler Blogger überfordern.

Abschließend sei noch gesagt, dass moderne Blogs sehr unterschiedlich aufgebaut sind und ganz verschiedene Technologien einsetzen. Jeder Betreiber wird also im Einzelfall genau überlegen müssen, wie welche Funktion Datenschutz-konform weitergenutzt werden kann oder vielleicht abgedreht werden muss. Über Ergänzungen, Anregungen und Fragen via Kommentarformular freue ich mich.


Titelbild: Piotr Marcinski / Fotolia
Schild-Icon: freepik / flaticon.com

15 Antworten
  1. Stefan
    Stefan says:

    Oha, das sieht nach viel Arbeit aus.

    Wie ist das, wenn ein Deutscher, wohnhaft in Thailand, eine Webseite auf Deutsch betreibt, auf der er u.a. auch Hotels.com empfiehlt? Die Adresse im Impressum ist in Thailand. Da müsste das doch gar nicht nötig sein, oder?

    Viele Grüße aus Mae Sai, der nördlichsten Stadt Thailands
    Stefan

    Antworten
  2. Katherina Ushachov
    Katherina Ushachov says:

    Hallo!

    Wie ist es eigentlich, wenn man gar nicht selbst hostet? Brauche ich einen Vertrag mit Google Analytics für meine drei über WordPress betriebenen Seiten oder hat WordPress die schon? Ich habe ja gar keinen Einfluss auf die ganzen technischen Sachen, könnte also viele Dinge gar nicht selbstständig ändern.

    LG,
    Katherina

    Antworten
    • Ritchie Pettauer
      Ritchie Pettauer says:

      Da bin ich überfragt, wie das mit Dritthostern läuft. Aber ich vermute mal, dass du als Betreiber für Google selbst zuständig bist. Um die Dinge, die Nutzer selbst nicht ändern bzw. beeinflussen können, muss ich wp.com kümmern – eventuell musst du dann mit denen einen solchen Nutzungsvertrag abschließen.

      Antworten
  3. Lars R.
    Lars R. says:

    Hallo Herr Pettauer,

    Danke für die Zusammenfassung, da ich selber Websites betreibe und auch für Kunden erstelle, komme ich um das Thema nicht wirklich herum.

    Da hilft mir so eine Checkliste weiter.

    Auf was noch nicht eingegangen wurde, ist die SSL Verschlüsselung der Websites, wer einen WordPress Blog betreibt, für den habe ich dazu einen Artikel verfasst.

    https://www.der-lars.at/nur-7-schritte-um-wordpress-mit-plugin-auf-https-umzustellen/

    Ohne SSL Verschlüsselung bringen Zustimmungserklärungen usw. nichts, da die Daten dann unverschlüsselt übertragen werden.

    Dann einen Hinweis noch zu den Cookiehinweisen, diese überlagern oft den Impressumslink im Footer, welches dann nicht unmittelbar erreichbar ist, daher würde ich empfehlen einen Impressumslink auch in den Cookiehinweisbanner einzufügen.

    Zu der DSGVO:

    Was mich die ganze Zeit beschäftigt, ist die Frage ob IP-Adressen als personenbezogene Daten gelten oder nicht?
    Der Hintergrund: Viele Websites benötigen keine Kommentarfunktion und auch keine Kontaktformulare.
    Wenn ich jetzt nur einen Link zu meiner Facebook-Seite setze (kein Share oder Likebutton), keine Kommentarfunktion anbiete und Kontakt per E-Mail Link bzw. Telefon anbiete, auf Analytics verzichte und nichts einbette, dann sollte ich doch von der DSGVO und der Verzeichnispflicht nicht betroffen sein, oder?

    Ist dann nicht speziell für Blogs, aber eben für Firmenpräsentationen wie der Website für einen KFZ Betrieb gedacht.

    Wenn ich keine Daten erhebe, brauche ich mich ja auch nicht um dessen Schutz kümmern, wenn da nicht die Frage der IP-Adressen der Besucher im Raum stehen würde.

    Gruß
    Lars

    Antworten
  4. Vicky
    Vicky says:

    Ich habe eine Frage zum Google Analytics Vertrag. Im ersten Satz steht … Vertragstext zur Auftragsdatenverarbeitung nach deutschem Datenschutzrecht…
    Ist der Vertrag dann überhaupt auch in Österreich gültig oder gibt es da etwas länderspezifisches?

    Antworten

Trackbacks & Pingbacks

  1. […] Datenschmutz mit seiner DSGVO für Blogger […]

Hinterlassen Sie einen Kommentar

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.

* Die DSGVO Checkbox ist ein Pflichtfeld.

DSGVO Zustimmung

Möchten Sie neue Kommentare abonnieren?
Wann möchten Sie Ihre Benachrichtungen erhalten?