DSGVO Checkliste für Blogger: Wie setze ich die Datenschutz-Grundverordnung für mein Weblog um?
2016 hat die EU die neue Datenschutzgrundverordnung beschlossen, am 25. Mai 2018 tritt sie in Kraft. Die Panik im Vorfeld ist beträchtlich, was durchaus mit den vorgesehenen Strafen zu tun hat: Bis zu 20 Millionen Euro bzw. 4% des Konzernumsatzes zahlt außer den Big Playern wohl niemand mal schnell so nebenbei aus der Portokassa. Was in größeren Unternehmen ein klassisches Thema für die Rechtsabteilung darstellt, ist für kleinere Unternehmer sowie Blogger durchaus eine beträchtliche Herausforderung.
Welche Schritte müssen Blogger im Detail setzen, damit ihre Seite ab 25. Mai den Anforderungen der DSVGO entspricht? Gleich vorweg: Mit einem Update der Privacy Policy ist es nicht getan. Formulare, Recht auf Auskunft/Löschung und Integrationen mit 3rd Party Services müssen auf jeden Fall überarbeitet bzw. angepasst werden.
DISCLAIMER
Dieser Artikel stellt keine Rechtsberatung dar. Ich habe mich mit den Bestimmungen der DSGVO zwar intensiv beschäftigt, um die entsprechenden Regelungen für meine Blogs umsetzen zu können, bin aber weder Jurist noch Datenschutzexperte. Obwohl ich mit aller angemessenen Sorgfalt auf die Richtigkeit der veröffentlichten Informationen achte, kann hinsichtlich der inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen sowie für allfällige Rechtsfolgen, die sich aus der Umsetzung dieser Informationen ergeben, keinerlei Gewähr übernommen werden.
Was ist die DSVGO?
Die Datenschutz-Grundverordnung gilt EU-weit und ist in jedem Mitgliedsstaat unmittelbar anwendbar. Sie enthält jedoch etliche Spielräume, die national ausgestaltet werden können, was in Österreich durch das Datenschutz Anpassungsgesetz 2018 (eine Novelle zum DSG 2000), geschehen ist.
Weitere DSGVO-Beiträge auf datenschmutz.net:
Der vollständige Titel des Regelwerks lautet Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). Ziel ist die Stärkung der Privatsphäre und mehr Kontrolle über persönliche Daten. Betroffen ist jedes Unternehmen, das in *irgendeiner* Form Datenverarbeitung betreibt – und sei es bloß ein Kontaktformular auf der Homepage.
Ab 25. Mai entfallen zwar die Meldepflicht bei der Datenschutzbehörde und der zugehörige Eintrag im Datenverarbeitungsregister, dafür tragen Auftraggeber und Dienstleister weit höhere Verantwortung.
Privacy by Design / Privacy by Default sind gefordert, gespeichert werden darf nur, was für die jeweilige Datenverarbeitungstätigkeit notwendig ist. Zusätzlich ist die Führung eines sogenannten „Verarbeitungsverzeichnisses“ gefordert, auch für Unternehmen unter 250 Mitarbeitern. Außer, wenn:
- die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt,
- die Verarbeitung nur gelegentlich erfolgt und
- die Verarbeitung keine sensiblen Daten bzw. keine Daten über strafrechtliche Verurteilungen beinhaltet.
Dies dürfte die meisten Blogger also nicht betreffen – ich kann mir nicht vorstellen, dass die Anmeldung zu einem Newsletter oder das Verfassen eines Kommentars Rechte und Freiheiten bedroht bzw. E-Mail und Name sensible Daten darstellen.
[Update 6.2.2018] Wie Rechtsanwalt und DSGVO-Experte Mag. Peter Harlander (lawoffice.at als Kommentar zu meinem Facebook-Update geschrieben hat, gilt für Blogger offenbar sehr wohl die Verpflichtung eines solchen Verarbeitungsverzeichnisses:
Blogger müssen definitiv ein Verfahrensverzeichnis führen. „Nur gelegentliche Verarbeitung“ liegt dank Webanalyse / Kommentarfunktion / Newsletter etc nicht vor. Damit kein genereller Entfall der Pflicht zur Führung eines Verarbeitungsverzeichnisses. (Artikel 30 Abs. 5 ist in der Verordnung unrichtig übersetzt und daher missverständlich.)
Wie kann so ein Verzeichnis denn ausschauen? Die WKO hat eine hilfreiche Vorlage.
[Update 26.3.2018] Hilfreich ist allerdings relativ – die formale Gestaltung des Verarbeitungsverzeichnisses ist die eine Seite der Medaille, die grundsätzliche konzeptionelle Herangehensweise steht auf einem anderen Blatt. Wer soll erfasst werden, von welchen Daten ist hier überhaupt die Rede? Einen ausgesprochen hilfreichen Beitrag zu diesem „den-Wald-vor-lauter-Bäumen-nicht-sehen-Thema“ hat Harald Dvorak verfasst: DSGVO – Verarbeitungsverzeichnis How-To.
[Update 2.5.2018 – tu felix Austria?] Unter dem Titel Keine Strafen: Österreich zieht neuem Datenschutz die Zähne berichtet Daniel Sokolov auf Heise.de von einem Gesetzesentwurf der österreichischen Regierung, der am 20. April „überraschend und kurzfristig“ vom Parlament beschlossen wurde. Besagter Entwurf enthält eine ganze Reihe von Ausnahmen, etwa für Wissenschaftler, Künstler und Journalisten. Im Fall der letztgenannten Gruppe hat die Datenschutzbehörde außerdem das Redaktionsgeheimnis zu berücksichtigen. Die Regelung lässt dabei sehr viel Ermessens-Spielraum:
Ausgewählte Teile der DSGVO finden dabei keine Anwendung, „soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen“.
Dass gegen Behörden und öffentliche Einrichtungen keine Strafen verhängt werden können, mag durchaus sinnvoll erscheinen – wozu soll sich Behörden auch gegenseitig verklagen, um anschließend Strafen mit Steuergeld zu begleichen? Interessanter ist da schon der neu formulierte Paragraph 11, der auf Verhältnismäßigkeit abzielt:
„Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.“
Sokolovs Darstellung erscheint mir durchaus tendenziös, zumal ja die EU selbst im Originaltext die Wahrung der Verhältnismäßigkeit fordert. Als erzieherische Maßnahme dürfte speziell für KMUs im ersten Schritt eine Verwarnung durchaus ausreichen. Ob die unterstellte „Verwässerung“ so weitreichend ist, dass sie unter Umständen ein EU Vertragsverletzungs-Verfahren rechtfertigt, muss die Zukunft zeigen.
Auch die vorgeschriebene Datenschutz-Folgenabschätzung und die verpflichtende Einsetzung eines Datenschutzbeauftragten trifft nur Unternehmen, deren Kerntätigkeit in der Durchführung von Datenverarbeitung besteht oder die mehr als 10 Mitarbeiter haben.
Je nach Geschäftsmodell müssen Online-Shops, Community-Betreiber und App-Anbieter an unterschiedlichen Stellschrauben drehen. Rein private Blogs dürften wenig zu befürchten haben, sobald jedoch auch nur ein einziger Banner, Affiliate oder Testbericht auftaucht, spricht der Gesetzgeber von Gewinnabsicht bzw. einer gewinnorientierten Seite – unabhängig, ob diese von einem Unternehmen oder einer Privatperson betrieben wird, greifen in diesem Fall die neuen Bestimmungen.
[Update 15.3.2018] Der kriminelle Blogger: Generelle Überlegungen zu WordPress, Themes, Plugins & der DSGVO/GDPR
Dass Juristen IP-Adressen zu den persönlichen Daten zählen, stellt WordPress und anderen CMS-Systeme respektive deren Anwender vor ganz neue Herausforderungen: Die Architektur des Internet baut nun mal auf IP-Adressen auf – wann immer Daten von externen Servern angefordert werden, überträgt das gute alte http-Protokoll die IP des Clients. Das betrifft eben nicht nur diverse böse Tracking-Pixel, sondern Gravatar-Bilder, Emojis und Google Maps.
Wir haben uns an den Komfort von API-Calls gewöhnt und die Verfügbarkeit von kostenlosen Add-Ons jahrelange genossen: Google ist großzügig, wenn es um die Einbindung von Kartenmaterial oder Videos geht – da nimmt man ein wenig Datenkrakelei schon ein Kauf. Das war zumindest bisher der Deal.
Selbstverständlich sind zahlreiche DSGVO-Änderungen stark vom verwendeten Theme abhängig: Google Fonts, Google Map Calls und etliche andere nach aktuellem Stand nicht DSGVO-konforme Aufrufe externer Services werden in der Regel über Plugins oder über das Theme realisiert. Dass alle Developper ihre WordPress Themes an die DSGVO anpassen, können selbst die größten Optimisten nicht erwarten – im Zweifelsfall wird jedenfalls der Webmaster (respektive Blogger) selbst Hand anlegen müssen.
Glücklich schätzen können sich in dieser Hinsicht die Nutzer des populären Enfold-Themes, denn die Entwickler haben im Support-Forum bereits angekündigt, bis zum Tag X alle DSGVO-Vorgaben zu implementieren. Dass der Entwickler des Teams selbst Österreicher und damit EU-Bürger ist, erweist sich in diesem Fall also als gravierender Vorteil für die europäischen Nutzer. Meine Nachfragen bei diversen US-Theme-Programmiereren und Premium-Plugin-Anbietern zeichneten in dieser Hinsicht ein eher düsteres Bild: Den meisten WordPress-Entwicklern außerhalb Europas ist die DSGVO bzw. GDPR bislang herzlich egal.
Ein weitaus größeres Ärgernis stellen allerdings diverse WordPress-Features dar, die ab 25. Mai nicht mehr in dieser Form nutzbar sein werden: Gravatar-Bilder für Kommentare, Emojis (auch die werden von Auttomatic-Servern geladen!) und der Antispam-Service Akismet verstoßen ebenso wie die integrierte Embed-Funktionalität klar gegen die kommende europäischen Datenschutz-Gesetzgebung.
[Update 26.3.2018] Die WordPress Core Programmierer sind aber natürlich nicht untätig und arbeiten bereits an neuen Funktionen und Hooks, die alle notwendigen „Data Clearances“ an zentraler Stelle managen und Plugins an den zukünftig im Core beheimateten GDPR-Layer „andocken“ lassen. Mehr Infos dazu in diesem Update.
[Update 24.5.2018] Die angekündigten DSGVO-Features sind mit der aktuellen WordPress-Version 4.9.6 verfügbar. WordPress löst damit zwar bei weitem nicht alle Punkte, stellt aber zumindest ein Interface zur Auskunft und Löschung bereit, macht das Kommentar-Cookie optional und gibt Hilfestellungen bei der Einrichtungen der Datenschutz-Erklärung. Die entsprechenden Funktionen beschreibe ich detailliert in diesem Podcast.
Obwohl technische Lösungen zwar großteils in Form bequem zu aktivierender Plugins (oder zukünftig sogar als integraler Teil von WP) verfügbar sind, erfordert der Betrieb einer WordPress-Seite nach derzeitigem Kenntnisstand ab 25. Mai eine ganze Menge an juristisch-technischem Fachwissen. Ich hoffe im Sinne der gesamten Blogosphäre, dass möglichst zeitnahe eine One-Click-Lösung verfügbar sein wird, denn die Einstiegshürde fürs Publizieren im Internet zu erhöhen, kann keineswegs Sinn der DSGVO sein: An Monopolen und Big Playern mangelt es uns im Internet wahrlich nicht.
DSVGO Checkliste: Was muss ich tun, damit mein Blog alle Bestimmungen erfüllt?
Jeder Betreiber eines Weblogs wird sich mindestens Gedanken über die folgenden drei Bereiche machen müssen:
- Anpassung der Datenschutzerklärung
- Umgang mit Drittanbieter-Services
- Datenerfassung- und Speicherung
Die folgende Checkliste umfasst Punkte, die in jedem Fall abgearbeitet werden müssen, erhebt jedoch keinen Anspruch auf Vollständigkeit.
Kann ich meine Seite mit einem Plugin DSGVO-kompatibel machen?
[Update 12.3.2018] Nein, nicht auf Knopfdruck bzw. nicht umfassend. Die DSVGO heißt auf Englisch GDPR (General Data Protection Regulation), und man findet im offiziellen Repository sehr wohl zwei entsprechende Plugins. WP GDPR Compliance unterstützt WooCommerce, die WordPress Kommentarfunktion und Contact Form 7 und gibt Compliance-Tipps. Das Plugin ist aber KEINE All-in-One Lösung, sondern setzt nur zwei der unten gelisteten Punkte um – und die Kommentar-Compliance bringt WordPress hoffentlich bis spätestens 24.5. im Core mit.
Spannender ist da schon WP GDPR, das neben der Checkbox auch ein technisches Interface für das „Recht auf Vergessen“ implementiert – also Nutzern die Möglichkeit bietet, früher verfasste Kommentare löschen oder anonymisieren zu lassen. Das Plugin gefällt mir ausgesprochen gut, deshalb habe ich die deutschen Übersetzung dafür geschrieben – ein ausführliche Vorstellung folgt in den nächsten Tag.
Und dann gibt es da noch All-in-One GDPR auf Codecanyon – ein Plugin ohne Demo und nähere Beschreibung um „günstige“ $68 (bisher 13 Verkäufe). Die Screenshots legen nahe, dass es in erster Linie um Privacy-Präferenzen für registrierte Nutzer geht, den Kommentare nach zu urteilen dürfte das Plugin außerdem Probleme mit zahlreichen WordPress Installationen verursachen.
Also kurz gesagt: Eine 1-Klick-Implementierung ist nicht in Sicht. Es gibt diverse Plugins, die einzelnen Aspekte regeln. Meine Favoriten habe ich in der nachfolgenden Checkliste verlinkt.
Ungeklärte Fragen
Was bedeutet die DSGVO für Embeds, Social Logins und Werbe-Elemente, die über Dritte eingebunden werden? Werden wir in Zukunft das Facebook Tracking Pixel überhaupt noch verwenden können? Nach derzeitigem Stand sind noch längst nicht alle Fragen abschließend geklärt.
Ich habe die oben erwähnten Punkte hier auf datenschmutz großteils umgesetzt. Alle Tracking-Pixel sind entfernt (FB, Doubleclick durch AdSense), Analytics wird anonymisiert. Die Kommentarfunktion und alle Formulare sind entsprechend umgebaut. Über Fonts und einige weitere technische Details muss ich mir derzeit keine Gedanken macht, das Enfold Theme wird rechtzeitig entsprechend angepasst.
Nützliche Links zur DS-GVO
Viele Blogger machen sich Gedanken über eine korrekte Umsetzung der Bestimmungen – und stellen ebenso wie der Autor dieses Beitrags fest: Es wird immer komplizierter, je genauer man hinschaut. Wer sich umfassend informieren möchte, dem empfehle ich die folgenden Beiträge mit Tipps und Best Practices.
- DSGVO als Blogger – Die neue EU-Datenschutzgrundverordnung auf Reisen-Fotografie.de
- DSGVO – Leitfaden für Blogger auf Lesefreude.at
- DSGVO – Die wichtigsten Punkte für Blogger auf Blogger-Ratgeber.com
- DSGVO: So viel Panik für nichts Neues – und warum es trotzdem ein grundlegendes Problem gibt auf Binary-Butterfly.de
- DSGVO-Serie von RA Dr. Thomas Schwenke auf t3n
- WordPress Plugins: Tipps für die DS-GVO auf Webseitenschutzpaket.de
- DSGVO & WordPress – Facebook Gruppe, der Name ist Programm
- DSGVO – Wie du dein Business auf die neue Datenschutz Grundverordnung vorbereitest – RA Dr. Ronald Kandelhart schreibt auch für Laien verständlich über den grundsätzlichen Geltungsbereich der DSGVO
Abschließend sei noch gesagt, dass moderne Blogs sehr unterschiedlich aufgebaut sind und ganz verschiedene Technologien einsetzen. Jeder Betreiber wird also im Einzelfall genau überlegen müssen, wie welche Funktion Datenschutz-konform weitergenutzt werden kann oder vielleicht abgedreht werden muss. Über Ergänzungen, Anregungen und Fragen via Kommentarformular freue ich mich.
Titelbild: Piotr Marcinski / Fotolia
Schild-Icon: freepik / flaticon.com
Dieser Beitrag enthält Affiliate Links.
Oha, das sieht nach viel Arbeit aus.
Wie ist das, wenn ein Deutscher, wohnhaft in Thailand, eine Webseite auf Deutsch betreibt, auf der er u.a. auch Hotels.com empfiehlt? Die Adresse im Impressum ist in Thailand. Da müsste das doch gar nicht nötig sein, oder?
Viele Grüße aus Mae Sai, der nördlichsten Stadt Thailands
Stefan
Die DSGVO gilt ja nur für europäische Seitenbetreiber – mit Wohnsitz und Impressum in Thailand kannst due die Umstellung vermutlich ignorieren. Lucky you.
Mit der Aussage „Die DSGVO gilt ja nur für europäische Seitenbetreiber“ wäre ich vorsichtig, vgl. das neu eingeführte „Marktortprinzip“! (https://www.suedwest-datenschutz.com/das-marktortprinzip-in-der-dsgvo/)
Oh, das ist mir in der Form neu – alle Dienstleister ist nicht schlecht. Ich frag mich nur, wie die Rechtsdurchsetzung dann in der Praxis, z.B. gegenüber Thailand, erfolgen soll.
Ich glaube zu wissen, dass die DSGVO für alle Unternehmen gilt, die in der EU Leistungen anbieten.
Ja, das ist so geregelt. Einer der realitätsfernsten Punkte imho… viel Glück mit der Rechtsdurchsetzung gegen ein Unternehmen in Kolumbien. Oder blocken wir dann einfach deren IPs? Ich finde diese Regelung immer noch sehr befremdlich.
Kolumbien ist vielleicht ein etwas exotisches Beispiel, denk an die Schweiz…
LOL Die Schweiz ist nicht weniger exotisch. Glaub‘ mir…
Ja, da hast du natürlich Recht – aber genau das meinte ich ja: In der Praxis wird das Länder betreffen, in denen eine Rechtsdurchsetzung mit vertretbarem Aufwand möglich ist.
Wenn Dich Deine Seite an Kunden / Leser in der Europäischen Union richtet, muss die DSVGO umgesetzt werden
Hallo!
Wie ist es eigentlich, wenn man gar nicht selbst hostet? Brauche ich einen Vertrag mit Google Analytics für meine drei über WordPress betriebenen Seiten oder hat WordPress die schon? Ich habe ja gar keinen Einfluss auf die ganzen technischen Sachen, könnte also viele Dinge gar nicht selbstständig ändern.
LG,
Katherina
Da bin ich überfragt, wie das mit Dritthostern läuft. Aber ich vermute mal, dass du als Betreiber für Google selbst zuständig bist. Um die Dinge, die Nutzer selbst nicht ändern bzw. beeinflussen können, muss ich wp.com kümmern – eventuell musst du dann mit denen einen solchen Nutzungsvertrag abschließen.
Das google-Analytics-Konto dürfte Dir gehören.
Also: Ja, Du brauchst den Vertrag – aber nicht erst mit der DSVGO. Den müsstest Du schon seit mindestens 2 Jahren haben.
Aber nicht vergessen: Bisherige(s) Konto / Konten löschen und ein neues erstellen und dafür den Vertrag abschließen.
Das brauchen übrigens keine 3 Verträge zu sein, da Du bei GA in einem Konto mehrere Domains verwalten kannst
Hallo Herr Pettauer,
Danke für die Zusammenfassung, da ich selber Websites betreibe und auch für Kunden erstelle, komme ich um das Thema nicht wirklich herum.
Da hilft mir so eine Checkliste weiter.
Auf was noch nicht eingegangen wurde, ist die SSL Verschlüsselung der Websites, wer einen WordPress Blog betreibt, für den habe ich dazu einen Artikel verfasst.
https://www.der-lars.at/nur-7-schritte-um-wordpress-mit-plugin-auf-https-umzustellen/
Ohne SSL Verschlüsselung bringen Zustimmungserklärungen usw. nichts, da die Daten dann unverschlüsselt übertragen werden.
Dann einen Hinweis noch zu den Cookiehinweisen, diese überlagern oft den Impressumslink im Footer, welches dann nicht unmittelbar erreichbar ist, daher würde ich empfehlen einen Impressumslink auch in den Cookiehinweisbanner einzufügen.
Zu der DSGVO:
Was mich die ganze Zeit beschäftigt, ist die Frage ob IP-Adressen als personenbezogene Daten gelten oder nicht?
Der Hintergrund: Viele Websites benötigen keine Kommentarfunktion und auch keine Kontaktformulare.
Wenn ich jetzt nur einen Link zu meiner Facebook-Seite setze (kein Share oder Likebutton), keine Kommentarfunktion anbiete und Kontakt per E-Mail Link bzw. Telefon anbiete, auf Analytics verzichte und nichts einbette, dann sollte ich doch von der DSGVO und der Verzeichnispflicht nicht betroffen sein, oder?
Ist dann nicht speziell für Blogs, aber eben für Firmenpräsentationen wie der Website für einen KFZ Betrieb gedacht.
Wenn ich keine Daten erhebe, brauche ich mich ja auch nicht um dessen Schutz kümmern, wenn da nicht die Frage der IP-Adressen der Besucher im Raum stehen würde.
Gruß
Lars
IP-Adressen *sind* personenbezogen (vgl. https://www.lawblog.de/index.php/archives/2017/05/16/ip-adressen-sind-personenbezogen/); infolgedessen ist darauf zu achten, daß bei den in der Regel durch den Webserver standardmäßig protokollierten Zugriffen eine zeitnahe Anonymisierung der IP-Adressen stattfindet (durch Unkenntlichkeitmachung zumindest eines Teils der IPv4-/IPv6-Adresse), oder aber die Protokollierung i.d.R. ganz unterbleibt, sofern sie nicht (wie etwa im Rahmen von Angriffen auf einen Webserver) für einen gewissen Zeitraum (zwingend) erforderlich ist.
(Ein paar Gedanken/Ansätze hierzu finden sich beispielsweise unter https://www.datenschutzbeauftragter-online.de/ips-speichern-in-der-praxis/138/)
Ja, das übersehen viele – ich hab die Server-Logs disabled und verwende nur Analytics mit der Anonymizer Funktion.
und da geht die DSGVO (bzw. die Interpretation) zu weit. !das ist jetzt stark vereinfacht! – technische Anforderungen bzw. Voraussetzungen für das Internet können/dürfen nicht einfach ignoriert werden.
zB: Server logs sind essentiell für die Sicherheit des Servers. im schlimmsten Fall kommt es zu einen unbemerkten und erfolgreichen Angriff mit dem Endresultat, dass der Angreifer nun über alle einvernehmlich gespeicherten personenbezogenen Daten verfügt. und genau das zu verhindern sollte die eigentliche Aufgabe der DSGVO sein. Serverseitige Sicherheitsmaßnahmen auszuschalten ist der falsche Weg, wenn es eigentlich darum geht kommerzielle Unternehmen zu einen verantwortungsvollen Umgang mit Kundendaten zu erziehen/zwingen.
das soll bitte nicht heißen, dass wenn die Server logs ausgeschaltet sind automatisch ein nicht autorisierter Zugriff erfolgt. ;)
Hehe… schöner letzter Satz! Bin da grundsätzlich der gleichen Meinung – aber das ist nur einer der vielen Bereiche, wo eine (zu) strenge Auslegung der DSGVO mit anderen Bestimmungen (oder zumindest sinnvollen Best Practices) kollidiert.
Hallo Lars,
danke Ihnen nochmals für die Erinnerung, ich hab SSL mit in die Liste aufgenommen.
Ich habe eine Frage zum Google Analytics Vertrag. Im ersten Satz steht … Vertragstext zur Auftragsdatenverarbeitung nach deutschem Datenschutzrecht…
Ist der Vertrag dann überhaupt auch in Österreich gültig oder gibt es da etwas länderspezifisches?
Ich hab keine Österreich-Version gefunden, und es steht ja auch drin, dass man den Vertrag nicht ändern darf… aber was die DSGVO betrifft, ist das deutsche Datenschutzrecht gleich wie das österreichische. Insofern vermute ich mal, dass das keine große Rolle spielen sollte… bin mir aber nicht sicher.
Danke! Hast du den Vertrag schon an Google geschickt oder wartest du noch ab
Ich habe meinen letzte Woche abgeschickt, aber bisher noch nicht zurück bekommen.
So, letzte Woche war mein unterschriebener Vertrag in der Post – hat also geklappt.
Danke für die ausführliche Checkliste! Bin auch gerade dabei, sämtliche Projekte diesbezüglich zu überarbeiten …
Gern geschehen! Es ist ja wirklich ein Work-In-Progress und betrifft viele Aspekte ;) Ich hab grade in die Checkliste ein Update zum Thema Livechat eingefügt.
Danke für den ausführlichen Bericht – wenngleich mir die Materie noch nicht ganz klar ist. Benutze zB Blogger & die dort automatisch eingebundenen Funktionen. Hach… Will doch von niemandem Daten speichern, sondern nur als Hobby bloggen.
Viele Grüße, Denise
Hallo Denise, bei Blogger ist mir nicht ganz klar, wie die das lösen werden – kann man auf Blogger noch kommentieren, ohne eingeloggt zu sein? Wenn Blogger ein Login verlangt, haben die die entsprechenden Passagen vermutlich in ihren AGBs drin. Ich denk aber, da musst du dir als Nutzerin nicht groß Gedanken machen.
Guten Morgen, Danke für diesen Beitrag.
Ich habe eine kurze Frage zu meinem eigenen Fall: Ich betreibe einen privaten (im Sinne von nichtgewerblich) Blog über Blogger und schicke keine Cookies, sammle keine Daten, nutze kein Google Analytics (oder andere vergleichbare Angebote) und werde im Mai wegen fehlender SSL-Verschlüsselung auch das Kontaktformular von der Seite nehmen.
Darf ich mir dann die nähere Auseinandersetzung mit der DSVGO sparen? Oder mache ich es mir zu leicht?
Viele Grüße, Anne
Wenn du überhaupt keine Werbung drauf hast (keine Affiliate Links und Banner) und das Blog rein privat ist und du alle Datenspeicherungen deaktiviert hast, dann kannst du die DSGVO getrost ignorieren! Ich würd allerdings trotzdem eine kurze Datenschutz-Erklärung online stellen – quasi den Inhalt des ersten Absatzes dieses Kommentars.
Nein, keinerlei Werbung oder Ähnliches und alle Cookies deaktiviert, außerdem kann man auch anonym kommentieren.
Danke für die Einschätzung!
Gerne! Mit dem anonymen Kommentieren ist das halt so eine Sache – das kommt im Detail drauf an, ob z.B. IPs gespeichert werden. Aber der entscheidende Punkt ist rein privates Blog. Grundsätzlich richten sich die Bestimmung der DSGVO an Unternehmen.
Hallo, mein wordpress.Com-Free-Blog ist ein privater Hobbyblog ohne Affiliate-Links oder Werbebannern. Soweit okay. ABER es sind AdSense-Banner darauf, die WordPress schaltet. Ich sehe davon natürlich keinen Cent. Muss ich trotzdem die DSGVO beachten? Schönen Gruß Chris
Hallo Chris, das ist ein meines Wissens ungeklärter Fall – weil die DSGVO das Setup, dass ein Plattformbetreiber und nicht der Seitenbetreiber Werbung schaltet, gar nicht berücksichtigt. Kommt darauf an, ob Juristen wp.com analog zu Facebook sehen (Pages sind ja auch öffentlich zugänglich) oder nicht.
Genau das ist auch das, was mich gerade verrückt macht. Ich habe immer gedacht, dass mich die DSGVO nicht betrifft, da ich ebenfalls rein privat (also nicht gewerblich) einen öffentlichen Blog über das kostenlose WordPress betreibe.
Und nun soll ich Verantwortung über die evtl. genutzten Daten auf WordPress übernehmen, auf die ich gar keinen Einfluss habe? Z.B. genau diese Werbung, die WordPress schaltet? Muss ich jetzt plötzlich ein Impressum und eine Datenschutzerklärung einrichten, in der ich den Nutzern der Seite Rechte gewähre, die ich selbst gar nicht einhalten kann? Gibt es eine Möglichkeit, rechtssicher auf WordPress‘ Erklärung hinzuweisen, oder muss ich meinen Blog jetzt doch abschalten?
Ich stecke leider in genau dem gleichen Dilemma und habe meine Seite nun aus Angst vor Stress deaktiviert, was für mich sehr unzufriedenstellend ist. Zumal sich die Einbindung externer Server, wie etwa Facebook oder auch die Kommentarfunktion, in der freien Version gar nicht deaktivieren lassen, ich bin also gar nicht in der Lage, das zu beeinflussen oder darüber angemessen aufzuklären. Obendrein steht die Datenschutzerklärung, die wordpress.com selbst auf der Seite hat, nur in englischer Sprache zur Verfügung. Das ist nach deutschem Recht m.W. so ja auch gar nicht zulässig. Aus meiner Sicht setzt der Betreiber seine Nutzer da einer ziemlichen Gefahr aus.
danke für diesen umfassenden Beitrag!
ich bin soweit schon aufgerüstet … das einzige was nich fehlt, ist die Zustimmung zum Datenschutz mit dem Plugin! ich habe genau das empfohlene installiert auf meinem WP-Blog – aber leider wird vom Plugin kein Kontrollkästchen zum anklicken generiert und der Leser, der kommentieren woll bekommt immer einen Fehler angezeigt, dass er es noch anklicken soll …
eigtl. sollte das Plugin ja leicht funktionieren und selbsterklärend sein – aber was mache ich denn falsch dabei???
brauche dringend Hilfe! danke im Voraus :)
liebste Grüße auch,
Tina
Hallo Tina,
freut mich, dass dir der Beitrag weitergeholfen hat!
Zur Checkbox: Das liegt zu 90% an deinem Theme oder an Plugins, die etwas am Kommentarformular ändern. Ist leider etwas kompliziert, weil es für das WordPress Kommentar Formular kein Template gibt, sondern die Felder aus der functions.php heraus generiert werden. Aber Appsaloon sind da wirklich extrem hilfreich – schick Ihnen über das WordPress Support Forum eine Anfrage, die melden sich sehr schnell.
Aber du hast es mittlerweile hinbekommen, oder? Hab grad dein Blog besucht. Btw: Respekt! Tolle Beiträge, hab grad den Weekender gelesen.
Danke für den Beitrag. Man muss sich die Informationen wirklich krümmelweise überall zusammen suchen. Da hast du schon viel abgedeckt.
Ich persönlich werde auf meinem Blog(s) so viel wie möglich abschalten.
– Kein Sumo mehr
– Kein Facebook Pixel (hatte ich eh nur kurz)
– Kommentare nur ohne Mailadresse
– Adsense via Deaktivierungslink im Impressum/Datenschutz
– Analytics nur mit gekürzten IPs
Zu denken geben mir die Einbettungen von Youtube Videos. Da muss ich nochmal ran … aber das warte ich erstmal ab.
PS: Das du den Haken beim abonnieren des bulletins default-mässig gesetzt hast ist Absicht? :)
Hi Matthias, ich hab mich bemüht :) Und auch schon das meiste rausgeworfen. Sumo hab ich nie verwendet, Facebook Pixel und AdSense sind draußen (ich hatte 1 Square Banner im Sidebare, hat sowieso genau *nix* gebracht). Was die Youtube Videos (und andere Embeds) angeht, bin ich auch noch unschlüssig. Aber die Kommentare… das ist so eine Sache. Ohne E-Mail keine Notification, und die IP Adresse speichert WP ja trotzdem.
Der Haken war ein Versehen – ich hatte vergessen, nach dem Testen wieder umzustellen. Danke für die Erinnerung!
War nicht böse gemeint mit dem Haken. Wunderte mich nur, weil du vorher so explizit auf nicht gesetzte Haken hingewiesen hattest :)
Ja die IP in den Kommentaren ist mir auch aufgefallen. Was machst du mit den Server Logs? Die speichern ja auch IP Adressen beim Zugriff …
Hehe… kein Problem. Bin froh, weil da wird man selber immer leicht betriebsblind :)
Die Serverlogs sind mir insofern relativ egal, weil ich eine Root-Kiste bei Hetzner stehen habe und die selber komplett abdrehen kann bzw. täglich löschen.
Ich habe nur einen 0815 Blog von WordPress, also das Basismodell wo man kaum Möglichkeiten hat, selbst technisch zu schrauben. Leider sind alle Checklisten immer nur für selbstgehostete Blogs, daher hänge ich mit meinem Wissen (egal wie wo was ich lese ich komme nicht weiter) noch ziemlich in der Luft. Google Analytics kann ich nicht nutzen, muss ich trotzdem einen Vertrag haben? Blogfoster etc habe ich angeschrieben nur da hieß es die Arbeiten an was. Tja… meinen Gravatar wollte ich löschen, geht aber nicht weg. Kontaktformular schmeiße ich raus. Was muss ich noch beachten?
Hi Sina, du meinst WordPress.com, oder? Soweit ich das beurteilen kann, werden die europäischen Nutzer vermutlich einen Vertrag mit WP.com abschließen müssen. Analytics und so weiter können dir egal sein, WP.com hat ein eigenes Tracking-System. Blogfoster hat das gleiche Problem wie alle Tracking-Pixel/Embeds. Einerseits soll die IP obfuskiert werden, andererseits ist dann keine sinnvolle Ermittlung von Unique Visitors möglich. Ich bin neugierig, wie die Plattformen dieses Dilemma lösen werden und was sich Blogfoster einfallen lässt.
Genau ich habe WP com. Danke für die Antwort. Da gehe ich davon aus, dass WP uns so Verträge schickt? Weil wenn jeder dort kontaktiert wird das ja niemals was…
Ich hab dazu noch nichts gefunden, aber ich vermute, dass wp.com das ähnlich handhaben wird wie Mailchimp – mit einem digitalen Vertrag. Sonst wird das eine Mega-Papierschlacht!
Eben das würde WP gar nicht auf die Reihe bekommen. Gerade habe ich aber gelesen, dass nur der Business Tarif wohl abgesichert wäre. Hmm.
Ansonsten muss ich als 0815 WP com Mensch mich um die korrekte Datenschutzerklärung kümmern. Habe ich zwar schon geupdated, weiß aber nicht ob korrekt. Und diese Datenverarbeitungsliste da anlegen. Die verwahre ich bei mir in der Schublade?
Das ist schon heftig – wobei: erlaubt wp.com in der Free-Version eigentlich kommerzielle Seiten?
@Datenverarbeitungsverzeichnis: Ja genau, das liegt in der Schublade und muss im Ernstfall on demand hergezeigt werden.
Kommerziell wäre ja schon jeder, der etwas vorstellt oder testet und Marken benennt. Ich kenne mich damit nicht aus. Ich schätze entweder aufhören oder Business abschließen.
Hallo Sina und Ritchie,
ich hab deinen Beitrag gelesen und bin jetzt erstmal platt. Ich bin auch bei WP.com, Sina und kann im Basistarif ja noch nicht mal Cookies aktivieren. Für meine „Buisiness“ lohnt es sich aber mal gar nicht 24€/Monat für den entsprechenden Tarif auszugeben. Hat irgendwer schon eine andere Lösung gefunden, außer seinen Blog zu löschen????
Für Hilfe bin ich extrem dankbar.
Grüße, Vera
Hallo Vera, wp.com ist ziemlich teuer im Vergleich zu selbst gehosteten Seiten. Längerfristig gedacht würd ein Umzug auf ein selbst gehostetes WordPress aus mehreren Gründen Sinn machen. Ich habe aber nicht im Detail verfolgt, was wp.com bei der Basisversion in den nächsten Tagen noch anpassen wird.
Hallöchen,
ich danke dir sehr für deinen ausführlichen Bericht, der mir sehr geholfen hat. Ich versuche gerade mit dem empfohlenen Plug-In die Kommentarfunktion zu überarbeiten aber ich finde einfach nicht, wo ich die Checkbox einfügen kann und wo ich den Hinweis als Text auf die Datenschutzrichtlinien eingeben kann. Kannst du mir bitte, bitte weiterhelfen, ich verzweifle gerade.
Lieben Dank!
Hallo Graziella, sehr gern! Es gibt inzwischen noch ein Plugin: Probier mal WP GDPR [https://wordpress.org/plugins/wp-gdpr-core/] aus. Das fügt die Checkbox automatisch ein – wenn das bei dir nicht funktioniert, dann könnte es an der Implementierung der Kommentare in deinem Theme liegen. Den Datenschutzhinweis kannst du direkt am Einstellungs-Screen des Plugins editieren. Und ein Kommentar-Lösch-Interface ist auch noch integriert.
Danke, Danke, Danke Endlich hab ich es auch hinbekommen!
zu früh gefreut nun funktioniert alles und sieht auch ganz ok aus aaaaaber ich kann nicht mehr auf Kommentare antworten. Nicht im Beitrag selbst und auch nicht in WordPress, auf der WP App geht es auch nicht mehr. Woran kann das liegen, hast du ne Idee? Ich drehe echt noch durch Wenn ich das WP GDPR ausschalte, geht es, es muss also an diesem PlugIn liegen.
Welches Theme verwendest du denn? Am besten du schreibst hier einen Support-Request:
https://wordpress.org/support/plugin/wp-gdpr-core
Die sind wirklich fix. Das ganze ist relativ kompliziert, weil’s für das Kommentarformular kein Template gibt – wird über die functions.php generiert, und die ist theme-abhängig.
Vielen Dank für diesen ausführlichen Beitrag! Da kommt noch einige Arbeit auf mich zu.
Derzeit suche ich verzweifelt nach DSGVO kompatiblen Social Sharing Buttons. Jetzt nutze ich Social Warfare, AddToAny and Jquery Hover buttons. Leider hat mir noch keiner auf meine Anfragen per Email geantwortet. Gehe aber davon aus, dass diese Plugins bald nicht mehr gehen. Wird „Click-To-Tweet“ noch erlaubt sein?
Die Share Button-Alternative, die ich bisher gefunden habe und die DSGVO konform ist, wäre Shariff. Aber nicht nur sind die Buttons häßlich, sie hatten auch seit 3 Jahren kein Update mehr.
Ich wäre dankbar für Vorschläge!
Hallo Carolin, freut mich, dass dir der Beitrag gefällt – ist und bleibt ein „Work in Progress“; es kommen ja immer wieder neue Herausforderungen dazu :)
Zuerst zur Click-to-Tweet Funktion: Die sollte kein Problem sein: das ist technisch gesehen nichts weiter als ein Hyperlink, der den Inhalt des Tweets mitgibt. Keine Datenübertragung bis zur tatsächlichen Nutzung.
Bei den Sharing-Buttons liegt die Sache etwas komplizierter, da es unterschiedliche technische Implementierungsmöglichkeiten gibt. Die bloße Teilen-Funktion könnte man analog zum Click-to-Tweet über einen simplen Link anbieten. Schwieriger wirds bei den Countern – hängt dann im Detail davon ab, ob die gecacht werden oder ob das Plugin bei jedem Zugriff die aktuelle Zahl von den Social Networks abfragt. Leider findet man nicht mal eine Zeile Info in den offiziellen FAQs. Ich hab gerade ebenfalls eine Anfrage an den Warfare Plugins Support geschickt. Normalerweise sind die recht flott bei Pro-Usern. Sobald ich was erfahren, sag ich Bescheid.
Danke für die Antwort! Bin auch Social Warfare Pro User, aber warte noch immer auf Antwort. Hoffentlich gibt es die Möglichkeit, die Buttons weiter zu verwenden.
Gerne! Ja, das hoffe ich auch – hab bisher ebenfalls noch keine Antwort bekommen. Nicht unbedingt das beste Zeichen… aber wie gesagt: Grundsätzlich sind Sharing Buttons kein Problem, die lassen sich (wenn die Buttons nicht via iframe eingebunden sind) notfalls auch als simpler Text-Link realisieren.
Hallo Carolin,
von Shariff gab’s vor Kurzem ein Update: https://de.wordpress.org/plugins/shariff/
Gruß,
Chris
Danke Chris!
Werde wohl auf Shariff Wrapper umsteigen.
P.S. Social Warfare hat zwar inzwischen geantwortet, schrieben aber, dass sie ja in den USA seien und daher nicht planen, etwas zu ändern.
Danke. Das liest sich alles sehr deprimierend.
Jetzt muss man für ein olles Blog oder Forum schon Jura studieren.
Und die Leute wundern sich, warum das Internet ausstirbt und nur noch aus Facebook und ähnlichen Monopol-Vereinen mit Rechtsabteilung besteht.
Na, dem Datenschutz hat das aber geholfen. Nicht.
Ja, das ist auch meine Hauptkritik an der DSGVO. Aber andererseits musste dieser Einschnitt irgendwann mal kommen. Ich hab das Safe Harbor Abkommen immer als Feigenblatt kritisiert. Nun haben wir aber das Problem, dass den meisten amerikanischen Anbieter die GDPR zwar nicht völlig egal ist, aber auch nicht gerade eine Herzensangelegenheit. WordPress im derzeitigen Auslieferungszustand ist ab 25. Mai mit hoher Wahrscheinlichkeit illegal, allein schon wegen der Emoji-Calls zu Akismet. Ob man wp.com Gratisblogs überhaupt noch verwenden kann, ist ebenfalls sehr zweifelhaft.
Es ist eine unangenehme Übergangsphase, aber auf mittelfristige Sicht betrachtet ein erster und wichtiger Schritt in der Durchsetzung von Rechten, die großteils eh schon länger so bestehen, aber bislang eben zahnlos und nur am Papier. Nur blöderweise sind halt leider (Hobby) Blogger ganz besonders stark betroffen. Ich finde es sehr schade, dass manche deshalb aufhören wollen… leider müssen wir da wohl durch.
„WordPress im derzeitigen Auslieferungszustand ist ab 25. Mai mit hoher Wahrscheinlichkeit illegal“
*kreisch*
Meinst du, bei WordPress 5.0 ändert sich das? Soll ja auch im Frühjahr noch kommen.
Ich fürchte, in dieser Hinsicht wird sich nix ändern… maximal ein Europe-Plugin, das eine Menge (an sich nützlicher und sinnvoller Features) abdreht. Mindestens:
* Emojis
* Gravatar-Bildchen
* Akismet
Weil alle diese Services Daten an Auttomatic übertragen. Und hier wird und kann es keine Lösung mit einem Feigenblatt-Vertrag geben… Auttomatic würd sich ordentlich in den Fuß schießen, wenn sie das täten. WordPress ist ja eben kein kommerzielles Produkt, sondern Open Source Software – das wär rechtlich ein Wahnsinn, dafür GDPR-Haftung zu übernehmen.
Je länger und intensiver ich mich mit dem Thema befasse, desto mehr wird mir die Komplexität bewusst – und dass viele Details wohl dann erst in der Praxis zu klären sind. Und dann steht die ePrivacy Richtlinie ja auch noch vor der Tür – wenn die in derselben Intenstität umgesetzt wird, können wir uns von Cookies und Tracking-System und jeglichen Auswertungen ganz verabschieden. *pessimism mode off* Aber es wird sich schon einpendeln. Ich lass mich nicht davon entmutigen, dass sich die Amis schon lauthals über Europa, das sich noch weiter ins Digital-Out schießt, lustig machen…
Hallo! Danke für den tollen Artikel – eine sehr gute und hilfreiche Zusammenfassung :-) Wir überlegen gerade, ob wir ein Live Chat Plugin installieren. Leider habe ich hierzu bis her sehr wenige Informationen zum Thema DGSVO im Netz gefunden. Kannst Du schon etwas zu den Plugins sagen, die Du getestet hast?
Vielen Dank!
Maike
Hallo Maike, danke für das Lob! Ich bin bisher noch am Testen… die zwei brauchbarsten (die keine 3rd Party Services) verwenden scheinen mir FluentChat und AwesomeChat zu sein. Zweiteres teste ich gerade. Da gibt’s zwar auch keine Checkbox, aber man kann zumindest einen Texthinweis einfügen. Wenn ich mit dem Testen fertig bin, werd ich einen Erfahrungsbericht online stellen.
Super :-)
Wie ist es denn wenn der Domaininhaber und Besitzer des Webspace nicht die gleiche Person ist, die im Impressum steht? Wer muss denn dann die Verträge mit Google und dem Hoster abschließen?
Update 16.3.2018: Ich habe die Checkliste um weitere Punkte ergänzt, unter anderem:
* Deaktivierung von Remote Emojis
* DV-Vertrag mit dem Hoster
* Gravatar Bilder
Außerdem finden Sie nun am Ende des Beitrags nützliche DSGVO Links.
Hallo Ritchie,
vielen Dank für die Checkliste! Das ist ja Wahnsinn, ich fange gerade erst an mit meiner eigenen Webseite und dachte, ich hätte soweit jetzt alles abgedeckt. Dank deiner Liste weiß ich nun, dass ich weiterhin mit einem Bein im Knast stehe und Google einen Brief schicken muss (unter anderem). Ich bin wirklich gespannt, wo die Reise mit diesem Thema noch hingeht.
Nochmals vielen Dank, du hast mir sehr geholfen!
Stefanie
Hallo Stefanie, danke für das nette Feedback! Und mir geht es übrigens genauso – je länger ich mit dem Thema beschäftige, desto mehr Baustellen tauchen auf – ich hab bisher noch keine Beitrag so oft upgedatet wie diesen hier.
Ein guter Anfang ist, wenn man sich https://www.wirspeichernnicht.de/ anschließt. Die Initiative macht sich stark dafür, dass überhaupt keine IP-Adressen gespeichert werden zum Schutze der User und stell dafür auch Anleitungen zur Verfügung. Wenn man erst mal alle Thirdparty-Tools (verschiedene Like-Buttons die nicht „zwei Klicks für mehr Privatssphäre“ oder auf Dinge wie den shariff setzen, analytics tools, etc.) eliminiert hat muss man sich dann nur noch um die Dinge auf dem eigenen Server kümmern, die dort beschrieben werden.
Wichtig ist bei Webhostern anzufragen welche IP-Logs die erheben und ob sie das deaktivieren können.
Der Haken „Zustimmung zur Datenspeicherung lt. DSGVO“ unter diesem Kommentar dürfte übrigens ungültig sein, weil die Verordnung explizit sagt, dass die Einwilligung des Users zum Speicher von nicht absolut notwendigen Daten nicht zur Voraussetzung für Teilnahme gemacht werden darf. D.h. Facebook darf demnächst nicht mehr auf Realnamen bestehen und dieser Blog darf nicht mehr die IP-Adresse länger als technisch notwendig speichern. In dem Sinne bekommt ihr mal euren Haken noch ;-).
Hallo Tim,
über wirspeichernnicht.de kann ich nichts sagen, weil die Webseite gerade nicht erreichbar ist. Eine Initative, die sich „dafür stark macht, dass überhaupt keine IP Adressen gespeichert werden“, klingt für mich allerdings unfassbar realitätsfremd. Warum nicht gleich „Wir schalten das Internet ab“? Das http Protokoll beruht nun mal auf IP-Adressen… es gibt berechtigte Interessen, die der Speicherung von IP-Adressen ganz gravierend entgegen stehen. Oder denken Sie ernsthaft, die DSGVO macht Block-Blacklisten bei IP-Floods illegal? Ich hoffe nicht.
Aus ähnlicher Motivation heraus deaktiviere ich hier die Speicherung von IP-Adressen mit Kommentaren nicht. Ich lösche die IP-Adressen nach 12 Monaten aus der DB. Aber ich möchte die Daten im Fall des Falles unbedingt parat haben – dafür gibt es gute Gründe, wenn man keine Registrierung fürs Kommentieren verlangt.
Korrekt, man darf nur absolut notwendige Daten speichern. Ich betrachte die Speicherung der IP als absolut notwendig – aus den oben genannten Gründen. Deswegen verlinke ich im Checkbox-Hinweis auch auf den entsprechenden Passus in meiner Datenschutzerklärung, Sie können die entsprechende Passage hier nachlesen:
https://datenschmutz.net/datenschutz/#kommentare-von-lesern
Aber der entscheidende Begriff ist „dürfte“ – es ist momentan in der Tat sehr schwierig abzusehen, wie Gerichte die praktische Ausgestaltung ausjudizieren werden. Rechtssicherheit schaut jedenfalls anders aus.
@Share Buttons: Shariff wird meiner Ansicht nach gravierend überbewertet, respektive entsteht dieses Missverständnis aus einer Verwechslung von Like- und Share-Buttons. Afaik wird der externe Like-Button schon längst nicht mehr offiziell von FB unterstützt. Und die Sharing Funktionalität lässt sich (mal abgesehen von schwindligen iFrame Lösungen und nicht-gecachten Countern) völlig DS-GVO konform mit nichts weiter als guten, alten a-hrefs umsetzen.
@Facebook Realnamen: Dazu kann ich mangels Fachkompetenz nicht wirklich was sagen – meinem laienhaften Rechtsverständnis nach macht es aber sehr wohl einen gravierenden Unterschied, ob Nutzer bei der Registrierung eines Dienstes dessen AGBs zustimmen. Und selbst wenn nicht: FB könnte durchaus argumentieren, warum die Angabe des echten Namens eine notwendige Voraussetzung zur Teilnahme ist. Aber damit soll sich Zuck herumschlagen, mich interessieren nur die Implikationen der GDPR auf Blogs ;)
Hallo Ritchie,
toller Artikel, der genau auf di Anforderungen bei Bloggern eingeht. Da ich zum Bloggen mit DSGVO auch noch ein Video machen will, meine Frage ob ich zu dir und deinem Artikel Bezug nehmen darf?
Wäre prima. Ach ja das was mir sonst so an DSGVO-Stress untergekommen ist un dich bereits verdaut habe in meinen Videos: https://www.youtube.com/watch?v=bxZlTwNTSPc&t=20s&list=PLIATtMlzaMbvB3ZpmVubrURQnWUoRAXC_&index=3
Hi Ritchie, wie versprochen https://www.youtube.com/watch?v=_rGOwGtsGp4
Hallo Gerald, dankeschön!!
Hallo Ritchie,
einen Punkt vermisse ich schmerzlich in der ansonsten extrem hilfreichen Zusammenstellung: Wie lässt sich der Einsatz eines Sicherheits-Tools wie WordFence kompatibel mit der DSGVO gestalten? Da werden ja massiv IPs registriert und mit Daten auf den WordFence-Servern abgeglichen. Defiant hat angeblich versprochen, bis zum Stichtag eine GDPR-compliant Lösung fertig zu haben, aber wie die genau aussehen soll, ist noch unklar. Käme mMn einer mittleren Katastrophe gleich, wenn diese Schutzmauer gegen Hacker, Spammer etc. abgeschaltet werden müsste.
LG und noch einmal danke für die tolle Kompilation.
Hi Markus,
danke für den Reminder! Du hast vollkommen recht – ich dachte, ich hätte jetzt alles beisammen, aber WF (und ähnliche Systeme) hab ich vollkommen vergessen. In punkto mittlerer Katastrophe bin ich ganz deiner Meinung. Ein Teil der Funktionen wär zwar unkritisch (das Monitoring von möglicherweise fischigen Plugin-Aktionen, Checksums von Core Dateien etc.), aber ohne IP-basierte Filterung wird’s unlustig. Darf man eigentlich überhaupt noch IPs black- oder whitelisten? Ich werd das mal in die ungeklärten Punkte mit aufnehmen.
So, ich hab den Beitrag aktualisiert und WordFence bei den „ungeklärten Fragen“ aufgenommen. Und dabei ist mir auch noch das Thema CDNs eingefallen… ohne Vertrag ebenfalls nicht mehr nutzbar.
Was ist denn mit AMP? Läuft das nicht über CDNs von Google? Da hätte man dann ja schon den Vertrag von Analytics…
Heike, danke für den Reminder – an AMP hab ich bisher noch gar nicht gedacht. Die Thematik ist schwierig – weil:
was wiederum Juristen beschäftigen könnte.
Spannende Problematik – ich werd das Thema vorerst mal noch nicht bei den „ungelösten Fragen“ eintragen, aber weitere Meinungen dazu einholen.
Danke Danke Danke!!!!
Ich bin dann mal die nächsten Tage (Wochen?) mit der Umsetzung deiner superguten Tipps beschäftigt :-)
Gern geschehen – freu mich, wenn ich helfen kann :)
Hallo Hr. Pettauer,
ich spiele mit dem Gedanken einen privaten Blog zu betreiben auf dem ich über meine Hobbyfilm-Projekte und div. DIY-Projekte schreibe. Dabei werden auch von mir erstellte Videos und Fotos gepostet -> die Videos sollen über Vimeo eingebaut werden.
Muss hier beim einbinden von Videos von externen Anbietern auch explizit eine Zustimmung geholt werden? Also zB ein Info-Popup dass der User erst Bestätigen muss um dann erst den Blogeintrag sehen zu dürfen?
Bin grade am Überlegen ob es für ein Privatprojekt den Aufwand wert ist und ich lieber gleich nur ein Vimeo-Konto betreiben sollte.
MfG
Hallo,
das hängt davon ab, ob Vimeo sich dem Data Shield Abkommen unterwirft. Wenn ja, müsste ein ADV (Auftragsdatenvertrag) auseichen, wenn Vimeo einen solchen anbietet. Wenn nicht, könnte man die Einbindung meinem Verständnis nach ab 25.5. nicht mehr legal nutzen.
Hallo Hr. Pettauer,
ok, dann werd ich mich mal bei Vimeo schlau machen. Danke für die rasche Antwort!
Hallo Ritchie,
du schreibst irgendwo im Text, dass Du die IPs der Kommentatoren nach 12 Monaten löscht.
Ich nehme nicht an, dass Du das per Hand machst, eher per SQL-Befehl, oder?
Wie stellst du denn da ein, dass du nur die alten erwischt?
Der von dir verlinkte SQL-Befehl löscht alle und nicht nur die älteren IPs und ich bin nicht so fit in diesem Thema, dass ich den Code selbständig erweitern kann…
Magst du den von dir genutzten Befehl veröffentlichen?
Vielen Dank schon mal & viele Grüße
Heike
Hallo Heike,
das lässt sich über die „Where“ Einschränkung bei der Abfrage realisieren. Man könnte die Abfrage dann einmal monatlich machen oder gleich mit Cronjob automatisieren. Ich hab den Code oben beim betreffenden Punkt eingefügt.
Dankeschön :-)
Das ist wirklich eine großartige Zusammenstellung der ganzen Problematik. Als etwas anderes mag ich diesen EU-Wahnsinn nämlich persönlich nicht betrachten. Ich hab ein paar kleine persönliche Blogs, in denen keinerlei Werbung vorkommt, die Google-Analytics-frei sind. Aber alle greifen auf Google Fonts zu. Speichern, weils ja WordPress ist die IP’s zu den (wenn vorhandenen) Kommentaren. Die Emojs und eingebettete Karten, Videos etc. sind vorhanden. Und so weiter.
Eigentlich ist es doch so, dass man nach dem Termin mal alle Themes, die man vielleicht irgendwo gebunkert hat (Themeforest etc.) in die Tonne treten kann, weil die Autoren vermutlich die spezifisch europäischen Vorgaben überwiegend nicht umsetzen. Ich mag mich irren. Dazu zähle ich auch alle „kritischen“ Plugins, die mit irgendwelchen verbotenen Daten hantieren. Wer kann als unbedarfter User schon feststellen, welche Plugins welche Daten nach Hause schicken? Ich nicht.
Was nur am Rande behandelt wird, ist die Frage, die bestimmt ganz viele kleine Blogger wie ich haben: Gilt das denn auch für einen Blog, der nichts anderes als Texte, Bilder, Videos postet und der keinerlei Werbeeinnahmen oder Kooperationen verzeichnet?
Ich klicke jetzt hier mal „Zustimmung ….“, obwohl ich nicht die Hälfte all der Dinge, die vorher im Text vorkommen, verstanden habe.
Ich möchte ungern politisch werden. Aber die Anwälte, die sich diesen Mist ausgedacht haben, sind bei der EU wirklich richtig.
Jetzt hab ich genug geschimpft. Nochmals herzlichen Dank für die tolle Arbeit, die in dieses Projekt investiert wurde. Die Bloggergemeinde wird es zu schätzen wissen.
Hallo Horst, vielen Dank für das Lob! Was „alte“ Themes und Plugins betrifft (oder generell auch neue, deren US-Programmierern die GDPR einfach egal ist), wird man enorm viel ausmisten müssen, da irrst du dich garantiert nicht. Und wer hat schon Zeit, ein paar 1000 Unterseiten manuell mit Ghostery zu durchleuchten? (Könnte ja sein, dass irgendwo noch ein alter Werbe-Code rumhängt).
Kleine Blogs sind raus, wenn die Betreiber 100ig argumentieren können, dass es sich um private Projekte handelt… sofern es keinerlei Koops oder Unternehmens-Inhalte gibt, müsste das auf jeden Fall durchgehen. Das Kriterium für gewerblich sind aber keinesfalls nur die Einnahmen, es darf wirklich *keinerlei* Inhalte, die man irgendwie als werblich klassifizieren könnte, geben.
Hey Ritchie, irgendwie ist das -fuer- aus der URL verschwunden wodurch jetzt einige Links auf deine Seite (auch Link in deinem eigenen Kommentar vom 21.03.2018 um 20:40 ) ins Leere laufen („Seite nicht gefunden“).
Hi, VIELEN DANK! Ich hab so ein **** (insert Schimpfwort of Choice) „SEO“ Plugin getestet, das ungefragt „Füllwörter“ aus URLs entfernt… ist wieder rück-korrigiert.
Hi Ritchie,
nun wird es auch einmal für mich Zeit, dir für diesen sehr ausführlichen Beitrag zu bedanken.
Wahnsinn, wie viel Mühe du dir da gemacht hast.
Zur Zeit ändere ich auch sehr viel in meinem Blog, werfe die eingebettenen Postings von FB, Twitter und Co . raus, entferne die YouTube Videos und ersetze diese durch Bilder, die dann auf das jeweilige Posting oder zum jeweiligen Link führen.
Die Hälfte von meinem Blog habe ich schon abgearbeitet ;-) Durch die Chrome Erweiterung Ghostery kann ich quasi nachvollziehen, von welcher Stelle aus getrackt wird. Demnach habe ich gestern auch Google Analytics den Laufpass gegeben. In 35 Tagen wird mein Analytics Konto endgültig gelöscht. Hab das Ganze eh nie so richtig verstanden :-)
Richtige Bauchschmerzen bekomme ich aber noch wegen dem Plugin mit der Checkbox für die Kommentare. Ich hatte das WP GDPR Compliance Plugin empfohlen bekommen, dieses scheint sich aber nicht mit meinem Theme zu vertragen, denn die „Checkbox“ wurde in voller Breite angezeigt (kein kleines Kästchen) – eine passende Lösung per CSS vorerst nicht in Sicht, weil sich die Entwickler in Schweigen hüllen :-( Ich habe Google auch schon halb leer gesucht, alles was ich dazu entdecken konnte, dass viele Anwender ein anderes Theme genommen haben – und dann funktioniert es. Komischerweise funktioniert es auf meinem privaten Blog..
Nun, bei dir entdecke ich nun das andere WP GDPR Plugin https://wordpress.org/plugins/wp-gdpr-core/. Demnach ist es eine Besserung zu dem anderen Plugin, oder was was meinst du dazu? Und – was mache ich, wenn dieses Plugin ebenfalls nicht das tut, was es eigentlich soll: Nämlich eine kleine Checkbox zum anklicken anzeigen. Gäbe es dann noch eine weitere Alternative, außer mir ein neues Theme zuzulegen?
LG Tina
Hallo Tina, dankeschön! Ja, das ist ein bisschen ausgeufert :) Wenn du nicht wirklich mit Analytics arbeitest, macht’s sowieso Sinn, den Code zu entfernen. Es gibt ja auch ganz nette lokale Alternativen – und in Wahrheit braucht eh kaum ein Webmaster diese ganzen Datengebirge, die Analytics aufbaut (oder hat Zeit, sich das alles im Detail anzusehen).
Zur Checkbox: Gute Nachrichten! Die Funktionalität wird vermutlich in den WordPress Core integriert, dann bräuchtest du gar kein Plugin mehr dafür. Wird aber noch ein paar Wochen dauern:
https://datenschmutz.net/dsgvo-update-wordpress-core/
Ansonsten würd ich auf jeden Fall GDPR-Core emfehlen – die sind auch super-flink beim Beantworten von Support-Anfragen und ich find dieses Plugin generell besser, auch wegen des integrierten Lösch-Anfragen-Interfaces. Aber ich bin nicht ganz unparteiisch, hab die deutsche Übersetzung dafür gemacht :)
Das Problem liegt vermutlich daran, dass das Kommentar-Formular aus der functions.php heraus generiert wird, und die ist Theme-abhängig. Aber wie gesagt, bis zum 25. kann WP vermutlich die Checkbox schon selbst einfügen.
Uih, das wäre echt cool, wenn demnächst von WordPress aus diese Funktion hinzukäme, dankeschön für die Info.. Den anderen Beitrag sehe ich mir auch gleich mal an..
LG Tina
Ja, ich glaube, wenn sich das mal rumspricht/spruchreif wird, werden viele Blogger (including my humble self) sehr erleichtert sein :)
Hallo,
vielen Dank erstmal für diese großartigen Tipps.
Ich betreibe bei wordpress.org eine Website, die ich bei united-domains hoste. Neben Google Analytics (werde ich abschalten) & Google Fonts (wird intern eingebunden) habe ich relativ wenige Dinge auf der Seite die mir Bedenken machen. Auf einer Seite befindet sich jedoch ein Gästebuch (gwolle Plugin) wo Name & Website angegeben werden können. Muss ich deswegen, oder vielleicht aus anderen Gründen, die mir bisher nicht klar sind, einen Datenverarbeitungs-Vertrag abschließen und ein Verfahrensverzeichnis anlegen?
Grüße,
Alex
Hi Alex, danke für das nette Feedback!
Zu deiner Frage: Soweit ich das verstanden habe, wird beim Betrieb einer (kommerziellen) Webseite quasi zwangsläufig ein Verarbeitungsverzeichnis fällig – sozusagen unabhängig davon, was auf der Seite tatsächlich passiert. (Persönliche Meinung: Und um im Zweifelsfall belegen zu können, dass mit den Daten „nix Böses“ passiert.) Und schon allein die Existenz von Server-Logs dürfte dazu ausreichen, dass man mit dem Hoster ein DVA abschließen muss.
Das gwolle Plugin kenn ich nicht, ich hab’s mir gerade im Repository angesehen. Der Autor dürfte die Software recht gut betreuen – meinem Verständnis nach müsstest du auch bei einem solchen Gästebuch ab 25.5. eine zusätzliche Einwilligungs-Checkbox einbauen, analog zu Kommentaren. Im Zweifelsfall würd ich mal im Support Forum nachfragen.
Hallo Ritchie,
schönen Dank für die vielen Informationen. Je mehr ich lese, umso schwieriger erscheint mir das neue Gesetz umzusetzen.
Deshalb eine Frage:
Du schreibst zur
„…Vorbeugung vor automatisierten Abmahn-Wellen möchte ich Ihnen an dieser Stelle zusätzlich ans Herz legen: Stellen Sie Ihre Datenschutz-Erklärung auf „noindex“, sodass sie von Google nicht in der Suche angezeigt wird. “
Leider versteht ich das nicht, auch wenn es vielleicht ganz banal ist und für Fachleute Schneklkopfen auslöst? Wo stelle ich „noindex“ ein? Auf meinem Blog in der Programmierung? In der Datenschutzerklärung? Ist das ein plugin? Und wie geht das bei WordPress? Wie gesagt, vielleicht ganz banale Sache, aber bei mir klingelt da nichts.
Schönen Dank und
beste Grüße
Winfried
Hi Winfried, „noindex“ ist ein Metatag, der Google mitteile, dass eine Seite nicht indexiert werden soll. Das stellst du in deinem SEO-Plugin ein, z.B. wpseo oder Yoast. Das verhindert, dass Bots, die nach bestimmten Formulierungen im Google-Index suchen, die eigenen Seite auf diesem Weg finden.
Hallo Ritchie,
bedankt!!! Hab ich nun installiert und ausgeführt.
Und dann bitte noch die Frage. Wie hast du dein Kommentarfeld mit Zustimmung l. DSGVO, neue Kommentare abonnieren usw. erstellt. Da gibt es sicher auch ein Plug in für?
Herzliche Grüße und tausend Dank für die vielen Infos und Deinen Einsatz!
Winfried
Es ist sicherlich am Besten, wenn man sich möglichst an den Empfehlungen der Behörden orientiert. Die veröffenlichen ja zunehmend Anforderungen und Muster. Zum Beispiel:
https://www.lda.bayern.de/de/kleine-unternehmen.html
Gibt es eine Quelle für die Behauptung, dass eine DSFA erst ab 10 Personen erstellt werden muss? Meines Wissens ist dort das Risiko entscheidend.
Ja, auf jeden Fall – die Dokumente unter deinem Link sind wirklich gut aufbereitet. Zur 10-Personen-Thematik kann ich nichts sagen, außer, dass das so in der DSGVO nicht drinsteht. Da ist das Kriterium der primäre Unternehmenszweck.
Was ist eigentlich, wenn sich die „betroffene Person“ außerhalb der EU befindet? Darf eine deutsche Webseite personalisierte Werbung an z.B. einen Amerikaner ohne dessen Einwilligung ausliefern?
Wenn nicht, dann wären alle nicht-europäischen Publisher im Vorteil gegenüber ihren EU-Kollegen.
Das ist eine gute Frage… aber tendenziell eher nein, weil: Du müsstest ja dein Angebot von vornherein trennen können und schon beim Aufruf der Seite wissen, ob sich jemand inner- oder außerhalb der EU befindet. Ich vermute mal, dass Geo-Splitting aufgrund der IP zu riskant wäre bzw. man damit eine Abmahnung riskieren könnte. Theoretisch gilt die DSGVO ja sehr wohl für ausländische Publisher, deren Webseiten sich an eine europäisches Publikum richten. In der Praxis wird’s aber wohl auf eine starke Benachteiligung europäischer Publisher rauslaufen.
Hallo, ich kann mir kaum vorstellen, dass die obige Checkliste für Blogger gilt. Sonst würde Lieschen Müller mit ihrem Katzenblog gleichgestellt mit Facebook & Co.
Außerdem wundere ich mich wieder einmal über den vorauseilenden Gehorsam der Deutschen. Konnte ich als Bürger der BRD irgendwann darüber abstimmen, ob ich das DSGVO befürworte? Wenn ja, wann und wie? Oder wurde die Verordnung wieder einmal von EU-Lobbyisten geschrieben, um das Leben von unabhängigen Nachrichtenquellen zu erschweren?
Es betrifft mich persönlich nicht wirklich, ich frage ja nur. Denn es ist wirklich lustig, wie viel Hinweisbanner auf deutschen Webseiten leuchten, die vielleicht 20 Aufrufe am Tag haben.
Es scheint, dass die Deutschen mittlerweile völlig degeneriert sind und wie die Amerikaner für alles ein Hinweisfenster benötigen: „Rauchen kann tatsächlich gefährlich sein“, „Der Inhalt in diesem Kaffeebecher ist heiß“, „Wer im Internet surft gibt Daten von sich Preis und wählt dadurch Donald Trump“ …
Abschließend noch eine Frage an den Webmaster dieser schönen Seite:
Wenn ich auf Spiegel-Online surfe, erscheint bei mir kein Hinweisbanner darüber, dass die Seite Cookies verwendet. Wenn ich dort einen Kommentar schreibe, dann muss ich auch nicht zustimmen, dass meine Daten lt. DSGVO gespeichert werden. Ich logge mich einfach mit meinen Facebook-Daten bei SPON ein und kann sofort kommentieren. Merken Sie was?
Liebe Frau Vetter,
ich verstehe Ihren Ärger durchaus, allerdings gilt die DSGVO für Liesche Müller und ihr Katzenblog tatsächlich – und zwar dann, wenn Lieschen Müller auch ab und an mal Katzenprodukte testet und/oder auch nur einen einzigen Werbebanner auf ihrer Seite hat. Nur tatsächlich private (nicht im Sinne von nicht-öffentliche, sondern nicht-kommerzielle) Webseiten sind ausgenommen.
Die EU ist nicht die Schweiz :) In einer repräsentativen Demokratie wird man sich durchaus an Gesetze halten müssen, die man nicht selbst mitbeschlossen hat. Und was den vorauseilenden Gehorsam betrifft: Ich fand und finde den vorgeschriebenen Banner-Hinweis lächerlich und wirkungslos – hier wird die ePrivacy Richtlinie ab 2019 nachbessern. Aber die DSGVO sehe ich als Versuch, Online-Business auf eine solide, nachvollziehbare Grundlage zu stellen. Eigentlich ein längst überfälliger Schritt. Diese Hinweise sind ja nur ein Teil der Gesamtbildes. Sich darüber Gedanken machen zu müssen, ob und an welchen Stellen Daten an Dritte weitergegeben werden, ist an sich eine sinnvolle Sache.
Zu Spon: Ja, Sie da haben Sie völlig recht – kein Cookie-Hinweis und 21 Tracker:
Würde mich sehr überraschen, wenn Spon bis zum 25. Mai nichts an der Seite ändert – die DSGVO gilt ja noch gar nicht. Ich bin hier bloß am Experimentieren, wie man die Änderungen am sinnvollsten implementieren kann. Das Facebook-Login ist meiner Ansicht nach übrigens ein Sonderfall und erfordert keine Zustimmung (die haben Sie ja schon mit der FB-Registrierung gegeben).
Hallo Ritchie, danke für diesen Artikel. Der hat mir bisher bei dieser Sache am besten weitergeholfen. Ich habe ihn auch schon weiter empfohlen. Super Sache! Echt! Aber eine kleine Frage hätte ich noch: Ich habe vor einigen Jahren mit Google bereits einen Vertrag wegen Google Analytics abgeschlossen. Muss ich das jetzt wegen der DSGVO nochmal machen, weil der Vertrag neue/geänderte Bestandteile hat? Weißt du das? Schöne Grüße :-)
Hallo Chris, soweit ich weiß: Wenn du deine Seite in Deutschland betreibst, dann ja. In Österreich würde eine Checkbox in den Analytics-Einstellungen ausreichen.
Danke für die wirklich interessante Zusammenstellung. Eine Sache, die ich derzeit nicht verstehe, die mich aber meine Kunden garantiert fragen werden (ich bin Webdesigner): Was mache ich -z. B- als Betreiber einer Zahnarztwebseite – wenn mich jemand anschreibt und „seine“ Daten gelöscht haben will.
Ich gehe davon aus, dass 99,99% der kleinen Webseitenbetreiber nicht im geringsten die Tools und das technische Know-How für das Thema haben. Wie soll also jemand, der wirklich andere Sorgen hat (z. B. besagter Zahnarzt) mit so einer Frage umgehen?
Und wie stelle ich – als Webdesigner – wiederum dem besagten Zahnarzt ein Verarbeitungsverzeichnis zur Verfügung? Das kann ich ja nicht für jeden Kunden coden, da muss es doch fertige Lösungen geben, die man per plug&play installiert und das war es dann auch.
Das würde mich beides sehr interessieren, ich denke, da bin ich nicht der Einzige, der sich so etwas fragt.
Hallo Raphael, danke für das Lob! Zur Datenlöschung: Die lässt sich nicht so ohne weiteres in eine Standard-Lösung packen, weil die Implementierungen einfach zu unterschiedlich sind. Man wird nicht drum herumkommen, in jedem Einzelfall festzustellen, wo Daten gespeichert werden (das kann ja schon bei einem simplen Formular ausarten – stehen die Daten in der DB, wird eine E-Mail verschickt, wie wird das E-Mail weiterverareitet, hat der Zahnarzt eine digitale Patientenkartei, wie ist die Anbindung etc.)
Was WordPress betrifft, lässt sich die Löschung/Anonymisierung von Kommentar-Daten relativ einfach via Plugin bewerkstelligen. Für alle weiteren Onsite-Speicher-Szenarien implementiere die Entwickler gerade einen neuen „Privacy Layer“ mit entsprechenden Hooks. Das Problem dabei: Plugin-Autoren müssten ihre Software entsprechend anpassen, und das werden bei weitem nicht alle tun.
Das Verarbeitungsverzeichnis kannst du als Webdesigner deinem Kunden gar nicht zur Verfügung stellen – du weißt ja in der Regel nicht, was „außerhalb“ der Seite weiter mit den Daten passiert. Du könntest lediglich den Webseiten-Teil abdecken und dem Kunden die Informationen für die Onsite-Speicherungen als Teil des Verabeitungsverzeichnisses liefern.
Hallo Ritchie,
danke für die Antwort. Ich möchte nochmals auf mein Szenario zurückkommen: Die simple Zahaztseite. Das bedeutet doch in der Praxis, dass in Zukunft jeder Kunde, der z. B. unzufrieden ist, eine Firma mit Löschanträgen nerven kann. Gut organisiert kann man ja sogar Konkurrenten damit in den Ruin treiben. Wenn es kein Standardprocedere gibt, sondern jeder Fall manuell untersucht werden muss, entsteht ja pro Löschantrag ein Aufwand, der in keinem Verhältnis zum Ergebnis steht. Das kann ja wohl nicht Sinn der DSGVO sein.
Ja, aber genau das ist der Fall. Wobei der Aufwand ja nicht sooo hoch sein sollte: Auch der Zahnarzt, der wenig mit IT am Hut hat, sollte doch wissen, wo er seine Patientendaten gespeichert hat. Wobei da zumindest in Österreich die elektronische Krankenakte ebenfalls reinspielen dürfte, und eventuell stehen im Fall eines Arztes auch andere Aufbewahrungsrechte der sofortigen Löschung gegenüber.
Hallo,
danke für die sehr informative Seite.
Zum Plugin Antispam-Bee:
Da gibt es auch das Häckchen bei: IP-Adresse des Kommentators validieren.
Möglicherweise am besten auch deaktivieren?
Noch ein Hinweis: ich bin mit dem IE 11 unterwegs.
Da wird dein Hinweis „Durch das Anhaken der folgenden Checkbox erlaube ich …“ quer über das Kommentarfeld als Transparenter Overlay gelegt. Dadurch sind auch die Folgenden Feldbezeichnungen fas nicht erkennbar. Evtl. nicht so beabsichtigt!?
Wenn du magst, schicke ich dir einen Screenshot.
Hallo Hanns, ich hab nochmal nachgeschaut – diese Funktion macht lediglich DNS-Abfragen. (Quelle: http://torstenlandsiedel.de/2016/06/27/antispam-bee-richtig-konfigurieren/)
Und danke für den IE-Hinweis, hab ich grad reproduziert… das schaut ja furchtbar aus, ich werd eine CSS-Weiche einbauen.
UPDATE: Boah. Bin schon lange nicht mehr in die Untiefen des IE CSS hinabgestiegen… falls mal jemand ähnliche Probleme hat – diese CSS-Weiche funktioniert super für IE10/11:
@media all and (-ms-high-contrast: none), (-ms-high-contrast: active) {
/* IE10+ CSS styles go here */
}
Ich dachte bisher, dass ich mich wirklich gut im Web auskenne, aber gerade diese juristischen Fallstricke sind der Wahnsinn. Wirklich tolle Checkliste. Ich bin seit 1996 im Web aktiv, aber so einen Angriff auf das freie Web gab es m.E. noch nie. Und das unter dem Deckmantel des Datenschutzes :-(.
Hallo Ralph, dankeschön! Ich seh die DSGVO als zweischneidiges Schwert – irgendwas musste da mal passieren. Der problematischste Punkt imho (und dadurch erfolgt auch der Angriff aufs freie Web) ist die völlig falsche Entscheidung, dass IP Adressen persönliche Daten wären. Die sind eben NICHT rückverfolgbar, wenn man nicht zufällig gerade Richter ist. Ohne die IP-Kompomenten wären die infrastrukturellen Auswirkungen ziemlich minimal. Ich hoffe, dass der Gesetzgeber hier nachbessert.
Hi,
super Beitrag, danke dafür. Weiß jemand von euch eigentlich, wie es mit Google Charts aussieht? Werden hier vorher Informationen wie IP und Location an Google übertragen? Meiner Meinung nach schon, denn man hat ja die Spracherkennung im Code aufgrund der Herkunft.
Danke und beste Grüße
Sandro
Dankeschön! Gute Frage… ich nehme mal an, das hängt von der Implementierung ab. (Werden die Charts gecached oder „live“ von den Google Servern geladen).
Hi,
die Charts werden live geladen. Im Code selber ist nichts über caching integriert.
Beste Grüße
Sandro
Dann wird man Charts vermutlich nicht mehr DSGVO-konform verwenden können :(
Hallo,
ich habe einen Buchblog und bin jetzt etwas überfragt. Ich speichere keine personenbezogene Daten o.ä. Die Verantwortung dafür muss in meinen Augen Google bzw. Blogspot tragen. Ist das korrekt?
Was ist denn dann für meinen Blog relevant? Es ist nämlich ebenfalls so, dass ich all meine Bilder die ich auf meinem Blog verwende, selbst mache und von Veranstaltungen nur Bilder hochlade, wenn fotografieren erlaubt war.
Ich wäre dankbar wenn mal jemand schauen würde.
Hallo Nora, du wirst um eine Datenschutz-Erklärung auf keinen Fall rumkommen. Ansonsten bin ich mit Blogspot aber überfragt… hab zwar versucht zu recherchieren, aber keine brauchbaren Infos gefunden bisher.
Hallo! Eigentlich hat man ja schon gar keine Lust mehr auf’s Bloggen, wenn man sich das lles so durchschaut…
Den Abschnitt zu Gravatar verstehe ich nicht. Einerseits wird die Mail gehasht, andererseits sei aber gerade das das Problem. Außerdem kann ich die Funktion deaktivieren aber Du machst das nicht, sondern weist auf den Umstand hin? Ich komme da nicht mit.
Hallo Hendrik, ich hab den Hinweis rausgenommen – das Problem ist nicht nur, dass man die gehashten Werte Seiten-übergreifend tracken kann, sondern eben auch, dass die IP des Nutzers zu den Gravatar-Servern übertragen wird. Ich mag die Bildchen wirklich gern & werd sie vermissen, aber zum 25.5. dann abdrehen. Es gibt auch keinen Ersatz – weil lokale Avatare ja eine Registrierung voraussetzen.
Also ich bin sehr zwiegespalten bei dieser Liste. Auf der einen Seite enthält sie viele wichtige Punkte. Sie geben Anlass darüber nachzudenken, ob man das jeweilige Feature wirklich braucht, führen vielleicht zu einer gewissen Datensparsamkeit und das ist ja einer der Zwecke der DSGVO. Was mir aber gar nicht gefällt ist der Eindruck, der sich beim Lesen aufdrängt: nämlich dass vieles „verboten“ ist.
Grundsätzlich sagt die DSGVO: das Speichern von Daten ist grundsätzlich verboten, es sei denn es ist erlaubt. Dann führt sie einige Erlaubnistatbestände ein. Einer davon ist der des berechtigten Interesses. Beispiel Gravatar: wenn ich dokumentiere, dass ich das einsetze, um mein Blog besser lesbar zu machen, damit die Attraktivität und die Besucherzahlen zu steigern und dass das mein berechtigtes Interesse ist, dann kann das durchaus in der bisherigen Form in Ordnung sein, sofern man das Prozedere in der Datenschutzerklärung dokumentiert. So ist das an vielen Stellen. Das Entscheidende an diesem Erlaubnistatbestand ist die Gegenprüfung: kann die betroffene Person (also: unsere Besucher) die Verarbeitung vernünftigerweise erwarten? Wenn ja, dann ist die Verarbeitung ok. Und auch da sage ich: das kann man in den meisten Fällen mit „Ja“ beantworten. Schaut euch doch an, wie gängig Gravatare (und viele andere Features, wie zum Beispiel euch Embeds) sind, da kann man ja nicht plötzlich sagen, dass man beim Besuch einer Website nicht mit sowas rechnen konnte.
Zum Weiterlesen empfehle ich die Datenschutzerklärung wie sie e-recht24 erstellt. Da kann man in vielen Passagen nachlesen, wie berechtigtes Interesse für einzelne Features dokumentiert werden kann.
Grundsätzlich hast du ja recht. Aber was wirklich als „berechtigtes Interesse“ gilt, werden wir erst in ein paar Wochen wissen – ich neige da durchaus zur Vorsicht. Gerade im Fall von Gravatar kann ich mir schwer vorstellen, dass das Argument hält – die betroffene Person kann kaum erwarten, dass ihre IP an Auttomatic Server übertragen wird, speziell dann nicht, wenn sie vielleicht überhaupt keinen Gravatar nutzt. Das Problem ist: Es gibt hier kein Opt-Out (und keinen DVV). Den Generator von e-recht24 kenn ich nicht. Wenn ich schon bezahle, dann aber lieber gleich für eine angepasste Erklärung von Anwalt und nicht für ein paar Textbausteine.
Ich halte die Nutzung von Gravatar weiterhin für problemlos machbar. Kommentieren an sich ist bereits ein Opt-In, und wenn dann da noch die Checkbox mit Hinweis(link) ist… Warum nicht? Man hat ja den Gravatar selbst erstellt.
Das wäre an sich ja kein Problem, aber die Sachlage ist komplexer: Egal, ob du einen Gravatar erstellt hast oder nicht – wenn die Funktion aktiv ist, dann fragt WordPress bei Auttomatic nach, ob’s zu der eingegebenen E-Mail einen Gravatar gibt. Da steckt keine böse Absicht dahinter, anders könnte das System ohne Login ja auch gar nicht funktionieren. Das heißt, es gibt kein vorgelagertes Opt-In und damit keine Möglichkeit, für Webseiten-Besucher zu sagen: „Ich will nicht, dass ihr meine Adresse an Auttomatic schickt.“ Das widerspricht klar der DSGVO, die ja nicht zwischen den Guten, den Bösen und den Zwielichtigen unterscheidet… um Gravatar konform einsetzen zu können, müsste man entweder ein Opt-In vorschalten oder eben „berechtigtes Interesse“ argumentieren. Aber ob das in der Praxis durchgeht, steht dann wiederum in den (Jus)Sternen.
Lieber Ritchie,
Stichwort: Wordfence. Du schreibst, es ist noch immer fraglich, ob Schutz oder nicht. Braucht man das wirklich, oder hilft folgender Link: https://binary-butterfly.de/artikel/wordpress-login-security-eine-stahltuer-in-der-wellblechhuette/
Was ist deine Meinung dazu?
Herzlich,
Vielen lieben Dank für diese sehr hilfreiche Checkliste! Ich habe anhand der Liste schon einiges abgearbeitet. Wobei ich mir noch unschlüssig bin, ist die Einbindung von Google Maps. Statt der bisherigen Map könnte ich ja einen Screenschot einbinden mit Link zu Google Maps – aber darf man das? Hast du da genauere Infos oder sonstige Ideen? openstreetmap ist ja datenschutzrechtlich wohl auch keine Alternative.
Herzliche Grüße, Barbara
Ok, inzwischen weiß ich, dass Screenshots von Google Maps urheberrechtlich geschützt sind, also nicht benutzt werden dürfen ;-)
Ja, da ist Google ziemlich strikt. Eventuell ist das bei Open Streetmap erlaubt, hab ich noch nicht recherchiert. Ansonsten ist die Lizenzierung von Kartenverlagen meistens recht teuer.
Hallo Ritchie,
Social Warfare schrieb mir
„Social Warfare doesn’t collect, store, or send information about your visitors until they’ve physically clicked the share button.“
Wäre es dann ok, es weiter zu nutzen, eventuall mit Hinweis? Es geht doch darum, dass Webseitenbesucher zur Datennutzung aktiv einwilligen, was sich mit dem Anklicken ja tun.
Leider fehlt mir das Fachwissen, juristisch und technisch, um selbst genau zu wissen, was ich DSGVO-konform nutzen kann und was nicht.
Beste Grüße
Hi Carolin, danke für die Info – ich hab von Social Warfare noch immer nix zurückbekommen. Grundsätzlich entspricht die Antwort eh dem, was ich erwartet habe. Grundsätzlich dürfte der aktive Klick meinem Verständnis nach durchwegs als „Einverständnis“ ausreichen – macht Shariff ja auch nicht anders. Und die Counters werden gecached. Ich seh eigentlich keinen Grund, der gegen Social Warfare spräche… hoffe, das bleibt so.
Wobei ich auch von anderen Plugin-Programmierern ähnliche Standardantwort bekommen habe, die nach eigener Überprüfung allerdings nicht unbedingt den Tatsachen entsprechen. Die Crux liegt ja in der Formulierung „Das Plugin speichert keine Userdaten“; dass oft trotzdem im Hintergrund auf CDN Server von Dritten zugegriffen wird, lässt man dann halt gerne mal unter den Tisch fallen…
Ich werde wohl meinen Blog einfach einen Tag vor dem Termin abschalten. Es ist einfach eine zusätzliche Belastung für mich, auf die ich keine Lust habe. Ich sehe es auch nicht ein, warum es mir als europäischer Mitbürger künstlich schwer gemacht wird Informationen im Internet bereitzustellen.
Einfach alles überregulieren. Die Großen können jetzt die Konkurrenz, die enstehen könnte schon im Keim ersticken.
Die Großen werden damit keine Probleme haben. Der Einmannbetrieb, kleine Handwerker usw. aber schon.
Auftragsdatenverarbeitung mit Hostern wenn man eine Homepage hat.
Typischer Fall von „gut gemeint“ und die Kleinen gut weggebombt.
Alles nur weil solche vereine wie Facebook alles ausgelotet haben was geht und schon zig mal absolut verwerfliche Dinger gestartet haben.
das mache ich auch so mit meinen ganzen Seiten
Ich habe heute auch all meine Seiten abgeschaltet. Blog, kostenlose Service Seiten, ehrenamtlich gepflegte Kita Seiten (2j. Schade.
Das Ende des Internets für den Datenaustausch von kleinen Bloggern.
Ich habe keine Lust mehr…..
Seit Jahren arbeite ich im Netz. Habe aktuell etwa 30 Seiten online. Blogs , Shops und staatische Seiten. Wenn ich mir überlge, diese alle anzupassen, sitze ich mindestesn ein Jahr daran, keine Lust dazu !!!!
Ich werde so wie es aussieht alles platt machen und verkaufen und nur noch meine Hauptdfomain behalten, alles andere strengt mich zu sehr an und liegt nicht in der Relation zum Gewinn.
Wie sieht es eigentlich mit Google Adsense aus, muss da auch reagiert werden ?
Ein paar alte Seiten, um die ich mich eh schon länger nicht mehr gekümmert hab, werd ich ebenfalls abschalten bzw. hinter htaccess Logins legen. Aber die werden weder mir noch sonst wem fehlen :)
Zu AdSense hab ich am Google Watchblog folgende Information gefunden:
Wie das technisch genau im Detail funktioniert, kann ich mir nicht vorstellen – letztendlich dürften ja auch bei der neutralen Werbung keinerlei Trackingpixel enthalten sein… ein leidiges Thema, mit dem ich nicht im Detail herumschlagen werd müssen, weil ich kein AdSense verwende (und meine Kunden ebenfalls nicht.)
Danke für die Antwort,
hier werde ich die nächsten Wochen abwarten.
Das Amazon Partnerprogramm sollte aber sicher sein, so denke ich.
Wenn ich das bisher richtig verstanden habe, ist aber der Fokus auf Formularen und Tracker oder nicht ?
Ja, grundsätzlich liegt der Fokus auf jeder Art der Datenübertragung, bei der der Nutzer vorher nicht zugestimmt hat. Bei Amazon Textlinks sehe ich überhaupt kein Problem. Allerdings liefert die API auch Fotos (einer der Hauptvorteile bzw. Gründe, die API zu nutzen, abgesehen von der Daten-Aktualität). Diese Bilder liegen aber auf CDN-Servern von Amazon, sodass hier die IP-Adresse des Nutzers beim Laden mitübertragen wird.
Danke für den Beitrag!
Für mich relevant ist in erster Linie alles um die Kommentarfunktion. Hier sind bei mir aktuell nur Name und Kommentar obligatorisch. Der Nutzer kann aber auch eMail und Website eingeben. IP wird nicht gespeichert. Nur noch ein Timestamp. Das würde ich gerne auch so lassen, aber: Wie kann denn jemand nachweisen, dass er seinen Kommentar löschen lassen möchte, wenn ich keine eMailAdresse als Beweis habe. Hat hier jemand ne Idee? Muss ich die doch auch immer abfragen? Vor dem Hintergrund der Datensparsamkjeit ja auch wieder blödsinnig…
Da, da hasst du völlig recht – da beißt sich die DSGVO-Katze in den Schwanz. Ich wüsste nicht, wie man ohne Angabe einer E-Mail eine Löschung möglich machen sollte… man könnte vielleicht das E-Mail Feld ganz weglassen und den Namen ebenfalls. Oder den Nutzer zustimmen lassen, dass er einen frei erfundenen, nicht zuordenbaren Nicknamen verwenden muss. Aber dann ist halt wiederum auch keine E-Mail-Kommentar-Notification möglich.
Danke für den tollen, informativen Artikel!
Ich beiße mir gerade die Zähne an eingebetteten YT-Videos aus. Dieses „Erweiterter Datenschutz“ Häkchen ist ja auch nur da, damit es da ist. Bringen tuts nur Nichts. Gravatar, Fonts und Jetpack sind bereits verbannt.
Eine andere Frage: ich verdiene mit meiner Seite kein Geld. Kein Werbebanner oder affiliate Link. Wie weit greift hier die DSGVO? Muss ich hier wirklich alles penibel einhalten? (Wenn nein, hast du da eine Quelle?)
Hi Leo, dankeschön! Die Sache mit den YT Videos ist sehr mühsam – dem erweiterten Datenschutzmodus trau ich ebenfalls nicht. Eine 100%ig wasserdichte Variante ist Lazyload mit Caching vermutlich auch nicht. Interessant finde ich den Ansatz von Borlabs Cookie, die Inhalte erst nach dem Klicken zu laden: Demo.
Zum Geltungsbereich: Grundsäztlich gilt die DSGVO für „rein private“ Webseiten nicht. Die Definition im Geltungsbereich ist „ausschließlich persönliche und familiäre Tätigkeiten“. Im Einzelfall wird’s dabei wohl auf die Bewertung durch Juristen ankommen. Zitat aus der WKO Info über den Geltungsbereich:
Hallo und danke für deine tolle Arbeit. Mir platzt ehrlich gesagt gleich der Kopf. Ich befasse mich seit Wochen damit und irgendwie finde ich immer wieder was neues. Ich habe einen kostenlosen Blog bei WordPress.com. Ich route also nix selber. Da ich über u.A. selbst gekaufte Produkte schreibe, ist meine Seite nicht rein privat. Ich habe alle Social-Media Buttons entfernt, habe kein eigenes Google Analytics-Konto. Die Kommentarfunktion unter Beiträgen habe ich noch drin, aber man kann kommentieren ohne Angabe von Email oder Namen. Und die Abo-Funktion ist noch drin. Ghostery zeigt mir als Tracker u.a. trotzdem Twitter Button, Gravatar und auch Google Analytics an. Da ich das selber nicht ändern kann, max. noch Kommentarfunktion ausstellen, was ich blöd fände, heißt das für mich, ich muss die Seite zum 25.5. schließen.
Ach ja und ein Vertrag mit Google kann ich nicht abschließen, da ich kein Google-Analytics konnte habe, was Voraussetzung ist. Mir schwirrt es im Kopf.
Aber wenn due Google Analytics nicht nutzt, dann brauchst du doch gar keinen Vertrag mit denen :-)
Ich dachte da Ghostery anzeigt dass die Seite von Google Analytics getrackt wird.
Dann würde ich eher mal nachforschen, wer da trackt mit Google, wenn du es nicht bist…
Seltsam – ich hatte auch schon windige Plugins, die eigenen Tracking-Pixel inkludiert haben. Natürlich ohne Doku. Aber kann es sein, dass WordPress.com generell die aufgelisteten Tracker integriert? Ich kenn mich mit wp.com da ehrlich gesagt zu wenig im Detail aus.
Auf der Suche nach einem Cookie- Hinweis für zwei ältere statische Seiten (wo ein Plugin nicht möglich ist), fand ich hier Hilfe:
https://www.mbm-webdesign.de/cookie-hinweis-script/.
Obwohl ich mich nur wenig mit html-Programmierung auskenne, habe ich die Dinger eingebaut bekommen und sie funzen. :)
Lediglich auf einem Rechner (von mehreren), auf dem ich das Ganze dann getestet habe, mußte ich vorher die alten Cookies zu der Seite löschen, dann hat’s auch da geklappt.
Ihr könnt auch einen link zu eurer Datenschutzerklärung einfügen.
Den Martin, der das gebastelt hat, könnt Ihr auch per Kommentar mail befragen. An ihn nochmal schönen Dank fürs einstellen.
Danke für die vielen Tipps!
Sehr gern!
Hallo Ritchie,
vielen Dank für diesen sehr ausführlichen und vor allem immer aktuellen Artikel. Ich habe hierdurch viele Anregungen bekommen und überarbeite gerade meinen eigenen Blog.
Um meinen Bloggerkolleg*innen ebenfalls über die DSGVO in Kenntnis zu setzen, habe ich einen (sehr rudimentären) Artikel verfasst und auf Deinen verlinkt:
http://www.theujulala.de/dsgvo-ab-25-mai-2018/
Herzlichst Nana
Hallo Nana, dankeschön für das Feedback und den Backlink! Ich find deinen Artikel sehr gut gelungen udn übersichtlich. Und dein Blog hab ich meinen Reader geworfen :)
Lieben Dank Ritchie für diese grandiose Zusammenfassung!
Eine Frage bleibt bei mir noch offen: Ich veröffentliche Bilder auf meinem Blog, die Fotografen eingereicht haben. Es handelt sich im Hochzeiten. Dabei sind das Paar, hin und wieder aber auch Gäste zu sehen.
Bislang haben mir die Fotografen versichert, dass sie die Zustimmung der Paare haben, die Bilder zeigen/veröffentlichen zu dürfen. Wird dies auch in Zukunft ausreichen? Oder müsste ich mit jeder gezeigten Person ein Release vereinbaren?
Was mache ich denn mit den alten Beiträgen im Archiv. Alles Löschen?
Schwierig, schwierig. Ich habs so viel gelesen darüber, aber bislang keine wirkliche Antwort gefunden. Hast Du ne Einschätzung?
Lieben Gruß,
Katja
Hallo Katja, danke für das grandiose Feedback :)
Die Sache mit den Fotos ist eines der großen ungelösten Mysterien. Ich verfolge nebenbei ein paar Fotografen-Gruppen mit. Und da schwant nicht nur mir nichts Gutes – es scheint tatsächlich so zu sein, dass die DSGVO in wesentlichen Punkten mit Bildrechten bzw. Model-Verträgen kollidiert. Speziell in punkto Rücknahme des Einerständnisses. Wie das in der Praxis gelöst wird, darauf scheint’s bisher noch überhaupt keine Antworten zu geben.
Ich vermute aber, dass du in Zukunft ohne schriftliche Vereinbarung kaum auskommen wirst. Die Frage ist dann allerdings, ob es ein berechtigtes Interesse gibt, dass dem Widerruf entgegen steht. Ansonsten wir das ganze kaum handhabbar sein.
Immerhin weiß ich nun, dass wir alle nichts wissen :-))
Herrje, das wird interessant in den nächsten Wochen.
Danke Dir für die Antwort!
Ja, alles bleibt spannend – das macht die DSGVO zur großen Unbekannten… die Regelungen sind ja an sich recht klar, aber wo berechtigtes Interesse beginnt und endet, werden die Gerichte in jedem Land wohl dezent unterschiedlich entscheiden.
Hallo, ich nochmal. Ich bin ja bei WordPress.com und da kam man leider einige Sache nicht selber ändern. Kritisch bleibt hier weiterhin Askimet, jetpack. Aber in einigen Blogs wurde gesagt, das an der DSVGO-Konformität gearbeitet wird. Wenn nicht, kann ich den Blog zum 25.5. erstmal abschalten.
Ich hätte da noch ne Frage zu Facebook-Plugin. Das offizielle Plugin habe ich entfernt und nun ein Bild mit einem Link zu der entsprechenden Facebookseite eingefügt. Ist das konform?
Hallo Eileen, ich hoffe ja immer noch, dass wp.com noch rechtzeitig alles auf die Reihe kriegt – wär sehr schade um jedes einzelne Blog. Nicht gerade förderlich für die Medienvielfalt…
@Facebook-Einbindung: Ja, diese Variante ist absolut konform – das Bild liegt ja auf deinem eigenen Server und beim Aufruf der Seite findet keine IP-Übertragung statt. Gute Idee, die Fanbox so zu ersetzen.
So, jetzt habe ich neben zahlreichen anderen auch diesen Artikel nebst den meisten Kommentaren gelesen und stelle fest, dass der rechtssichere Betrieb selbst eines privaten (Foto-)Blogs kaum mehr möglich ist. Zumindest nicht ohne erheblichen Aufwand und selbst dann bleiben wohl viele Aspekte ungewiss – bis man irgendwann von Abmahngeiern, die sicher schon dabei sind, sich gewinnträchtige Strategien zurecht zu legen, kostenpflichtig auf diese Aspekte hingewiesen wird.
Ich werde wohl mein Blog entweder vorläufig komplett abschalten oder wenigstens die Kommentarfunktion deaktivieren, bis sich die Sachlage aufklärt und klare, rechtssichere Lösungen erkennbar sind. Im zweiten Fall liefe das Blog dann eben rein passiv weiter ohne jede protokollierte nutzerseitige Interaktion.
Ich find’s sehr schade, dass die DSGVO-Panik offenbar nicht wenige Blogger zum Aufhören bewegt. Wer seine Seite als Hobby oder aus Interesse betreibt, ist ja eigentlich auf die ganzen „problematischen“ Services gar nicht angewiesen. Klar schmeichelt hübsche Typo dem Auge, aber letztendlich zählt der Inhalt – ich kenn 2018 noch einige statische HTML-Seiten, die besseren Content bieten als viele State-of-the-Art Blogs… ich seh das ganze eigentlich relativ entspannt. Klar muss man einiges Ausmisten, aber das hat ja auch positive Nebenaspekte. Die Sache mit der Kommentarfunktion ist bei Blogs allerdings wirklich ausgesprochen kompliziert. Ich bin gespannt, was WordPress selbst bis zum 25.5. noch in diese Richtung unternimmt.
Hallo, ich hätte mal gerne die Quelle, dass ein Cookie-Hinweis rechtlich vorgeschrieben ist. Meines Wissens kommt die Pflicht dazu erst mit der ePrivacy-Richtlinie, die es noch nicht gibt.
Grüße,
Wolfram
Hallo Wolfram,
nach fleissigem Einlesen in den letzten Wochen fand ich zum Beispiel eine anwaltliche Einschätzung:
https://www.it-recht-kanzlei.de/cookies-einwilligung-datenschutzerklaerung.html und zum Beipsiel diese Gegenposition:
https://www.internetkurse-koeln.de/warum-wir-beim-ersten-seitenaufruf-noch-keinen-cookie-hinweis-schalten/
Da ich aber technisch gar nicht beschrieben kann, was meine Seiten für Cookies setzen, habe ich mich für diese Cookie-Banner entschieden, sozusagen aus Sicherheitsbedenken. Bis dann mit der nächsten Richtlinie neuer Handlungsbedarf kommt.
Aber du hast Recht, noch ist es meines Wissens keine rechtliche Vorschrift.
Danke für die Links! Ich bin da ganz beim 2. Artikel – im ersten fehlt mir komplett die Unterscheidung zwischen „Targeting- und Tracking-Cookies“, um die’s bei der ePrivacy Richtlinie geht, und Same-Domain Cookies (wie sie beispielsweise für ein Login notwendig sind). Ich verwende derzeit noch GA und bin gerade am Überlegen, ob ich ganz auf Matomo umstelle oder ab 25.5. die Full-Opt-In Lösung Borlabs Cookie einsetze.
Schöner Artikel.
Zwei Sachen, sofern noch nicht in den anderen Kommentaren erwähnt: Font Awesome wäre damit genau wie eigentlich jeder jquery CDN aus dem Spiel, sprich dürfte nicht verwendet werden – oder?
Und lustige Sache: Österreich schafft die Strafen hinsichtlich DSGVO weitestgehend ab: https://www.heise.de/newsticker/meldung/Keine-Strafen-Oesterreich-zieht-neuem-Datenschutz-die-Zaehne-4031217.html
Hallo Benjamin, dankeschön!
Ja, das stimmt – Font Awesome müsste zumindest komplett lokal gehostet werden (die verwendeten Icons). Was bei CDN jquerys naturgemäß gar nicht geht… man könnte allenfalls, so möglich, einen DVA mit CDN-Anbietern, die Privacy-Shield zertifiziert sind, abschließen. Das gleiche gilt ja übrigens auch fürs Amazon Partnerprogramm, sofern man nicht nur Textlinks einbindet, sondern Bilder über die API. Amazon untersagt lokale Kopien und erlaubt Caching für einen gewissen Zeitraum (ich glaub, 12 oder 24h)… aber rein theoretisch: Was, wenn Besucher X meine Seite genau dann aufruft, wenn die Cache-Lifetime abgelaufen ist und das Bild neu vom Amazon-CDN geladen wird? Das ist alles technisch nicht sauber realisierbar und spitzt sich damit auf die Frage zu: Was werden die Gerichte in der praktischen Ausgestaltung als berechtigtes Interessse durchgehen lassen?
Zum Alleingang Österreichs: Ich war einigermaßen erstaunt. Und erwarte große DSGVO-Business-Flüchtlingsströme aus Deutschland :)
Aber im Ernst: Ich hab die Fachdebatte ein wenig verfolgt und war wieder mal baff, wie dehnbar Gesetze sein können. Die deutschen Juristen gehen davon aus, dass „unsere“ Novelle ein EU Vertragsverletzungs-Verfahren rechtfertigt, die österreichischen Experten argumentieren mit der vorgesehenen „Verhältnismäßigkeit“. Der Artikeltitel ist allerdings durchaus Boulevard-würdig:
Das find ich nicht so schlecht – first strike und dann die Chance zur Besserung. Es kann ja nicht drum gehen, jedes KMU zur Kasse zu bitten, weil irgendein Detail übersehen wurde. Die ohnehin begrenzten Kontroll-Ressourcen auf Wiederholungstäter und Besserungsunwillige zu konzentrieren, find ich grundsätzlich nicht so übel.
Hallo Ritchie,
nachdem ich schon einige Male hier vorbeigeschaut habe, möchte ich ein großes Lob aussprechen für die Recherche und die tolle Zusammenstellung!
In den letzten Wochen habe ich mich sehr viel mit der DSGVO und den dafür erforderlichen Anpassungen bei mir im Blog beschäftigt. Das Einzige, was ich bisher nicht zufriedenstellend umsetzen konnte, war solch ein hübscher und vorbildlicher Kommentarbereich wie der Deinige. Das ist doch nicht alleine dem Plugin WP GDPR geschuldet, oder? Das hat sich bei mir ungefragt ins Hauptmenü geschummelt, so das ich es wieder deaktiviert habe. Und die Auswahl, welche Kommentare abonniert werden können, habe ich nicht gefunden.
Viele Grüße
Karen
Hallo Karen, danke für das Lob!
Zum Kommentarbereich: Das hat mich ein paar lange Nächte gekostet – und jetzt werd ich noch rot vor lauter Lob :) WP GDPR macht nur die Speicher-Optin-Checkbox. Ich hab lange nach einer soliden Lösung für Kommentar-Abos gesucht und alle möglichen Plugins ausprobiert. Super-happy war ich dann erst mit Comment Mail (Pro). Das generiert die Kommentar-Abo Dropdowns und die Opt-In Checkbox für den Newsletter. Alles super-fein einstellbar mit Double-Opt In, Abo-Manager und Co… und vor alle mit anpassbaren E-Mail und Formular-Templates. Einer der Gründe war, dass man bei CM alle Default Settings einstellen kann. Und ich find’s bei einem Blog wie meinem, wo ein Großteil der Kommentatorinnen und Kommentatoren Fragen stellen, hochgradig sinnvoll, „Antworten auf meinen Kommentar“ standardmäßig aktiv zu stellen. Und das ganze hab ich dann noch (dank kräftiger Hilfe aus dem Enfold Support-Forum – ruling Theme support #1!) mit ein paar Custom CSS Zeilen angepasst.
Hey Ritchie,
danke für diesen ausführlichen und hilfreichen Artikel. Ich hätte ne Frage zu der deutschen Übersetzung für das Plugin, dass du erwähnt hast. In der Plugin Directory kann ich die Übersetzung leider nicht finden. Hast du diese bei wordpress.org eingereicht?
https://translate.wordpress.org/locale/de/default/wp-plugins/wp-gdpr-core
Falls nicht, wäre es super, wenn du das machen würdest, da dann alle User davon profitieren können. Ich kann dann auch gerne dem Polyglots Team Bescheid geben und um zugige Freischaltung bitten.
Danke dir :-)
Liebe Grüße,
Maja
Hey Maja,
nein, ich hab die Übersetzung mit Loco Translate in meinem Backend gemacht und dann die mo/po Files an die Entwickler geschickt bzw. an Mieke Nijs, die auf der Übersetzungs-Seite die 62 Suggestions eingereicht hat. Ich hab noch nie direkt über WordPress.org übersetzt und kenn mich der Translater-Sache null aus. Wär super, wenn du mir da helfen kannst und sagst, was ich machen muss, um die Übersetzung hochzuladen. Hab außerdem grad gesehen, dass viele neue Strings nicht übersetzt sind; aber wenn ich mit Loco Translate mein Template synce, finde ich keine neuen Strings.
Also wie gesagt – wär dankbar für deine Hilfe, dann lad ich meine Files gern hoch bzw. übersetze die fehlenden Strings. (Aber nicht die Hilfe und FAQ Texte… das würd mein EPU Non-Profit Budget überstrapazieren :)
Betreff Checkbox: Der auf Datenschutz spezialisierte Anwalt Stephan Hansen-Oest hält die Checkbox nicht nur für absolut überflüssig – was beim Kontakt- bzw. Kommentar-Formular eigentlich auch Schwachsinn ist, da der Besucher ja mit einem kommunizieren will – er hält sie auch für gefährlich.
Gefährlich in dem Sinne, das sie einem hinterher um die Ohren fliegen kann. Er hat dazu einen Podcast aufgenommen: https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/
Eine Frage: ich betreibe einen Blog auf WordPress.com: https://royaltravel.wordpress.com/
Dieser ist nicht kommerziell und übver mein Hobby. Gilt das jetzt als kommerziell oder nicht?
Bei wordpress.com habe ich nicht die Möglichkeit selber Plugins zu installieren sondern kann nur die von wordpress.com vorgebenen nutzen die sich auch nicht deaktivieren lassen (wie z. Bsp Akismet oder Jetpag).
Hallo Stefan, für nicht-kommerzielle Hobbyblogs gilt die DSGVO nicht. Keine Werbung, keine Produktbeiträge, keine Firma als Herausgeber – als Laie würde ich meinen, dass dein Blog da nicht drunterfällt. Aber ich würd sicherheitshalber eine Anwaltsmeinung einholen.
Hallo Ritchie. Danke für die Informatzion. Einen Anwalt kann ich leider nicht leisten. Ich werde jetzt mal abwarten was WordPress macht und wenn sich ncihts tu den Blog erstmal auf Privat setzen.
Ein anderes Problem das ich jetzt noch mitbekommen habe sind Bilder. Nachj der neuen Regelung gilt jede Aufnahme eines Bildes als Datenverarbeitung vor allem wenn Personen darauf sind.
Hier ncoh mehr Informationen: https://gwegner.de/blog/dsgvo-und-auswirkungen-fuer-fotografen-und-webseitenbetreiber/
Da hab ich einige sehr widersprüchliche Aussagen gehört – ich wär auch bei der Formulierung „vor allem, wenn Personen drauf sind“ skeptisch. Ein Baum wird mir eher keine Einverständniserklärung geben :) Ich denke, dass die meisten Personenfotos bisher einfach nach dem Motto „Wo kein Kläger…“ verwendet wurden. Wenn man da zukünftig einen Model Release braucht, auch okay. Rückwirkend wird das aber kaum gelten können.
Vielen Dank für diese super detaillierte Aufstellung zur DSGVO!
Danke für das Lob! Gerne wieder :)
Erstmal danke für die tolle Überischt zur DSVO! Hat mir wirklich geholfen den Einstieg in das Ganze zu finden.
Wo ich momentan aber noch festhänge ist das Einbinden von Embed Content von Youtube, Vimeo, Twitter, Instagramm, etc., dass ja jetzt auch eher bedenklich wird (Youtube hat zwar immerhin die Privacy Funktion). Du erwähnst kurz die Möglichkeit dazu ein Cached Plugin zu verwenden, hast du da evt. grade eine Empfehlung dazu?
Mann-o-Mann, das sind ja furchtbare Aussichten… Danke aber trotzdem, oder gerade deswegen, für die Mühe, die du dir mit dieser Checkliste gemacht hast. Bin jetzt erstmal geplättet von den ganzen Anforderungen.
Werde da wohl noch öfter reingucken müssen, bis bei mir alles „korrekt“ abgewickelt wird.
Vielen lieben Dank!
Ronny
Hi Ronny, danke – gern geschehen :) Und das ist nur der Webseitenteil… ich hoffe, du Umsetzung gelingt rasch.
Zu den Share Buttons da kann man doch den Shariff empfehlen von c’t^^ Vielen Dank für die tolle Checkliste
Irgendwo hatte ich gelesen das mit Inkrafttreten der DSGVO der digitale Vertrag mit Google Analystics als „rechtens“ angesehen wird?! Bitte selbst nochmal checken könnte man dann an dem Punkt noch hinzufügen.
Liebe Grüße
Zu diesem Punkt hab ich unterschiedliche Auffassungen gehört… aber ich nehm mal an, dass sich Googles Rechtsabteilung das überlegt hat (hoffentlich ;)
Hi Alina, ja, der gute alte Shariff ist immer einen Hinweis wert – danke für die Erinnerung, hab den Link in die Checkliste eingebaut. Und danke fürs Lob :)
Hallo, vielen Dank für diese Liste!
Eine banale Frage bleibt für mich ungeklärt: Was ist mit den Daten/Kontakten, die ich VOR Inkrafttreten der DSVGO gesammelt und gespeichert habe? Benötige ich von allen auf meiner E-Mail-Liste eine erneute Zustimmung zum Erhalt meines Newsletters?
Hallo Marita, gern geschehen!
Zu den Opt-Ins: das hat nichts mit der DSGVO per se zu tun – Double Opt-In ist schon lange vorgeschrieben. Wenn du deine Abonnenten alle rechtskonform gesammelt hast, musst du nicht erneut um Einverständnis fragen. (Der Newsletter sollte ja außerdem eine Unsubscribe Möglichkeiten bieten).
Wir haben eh schon kürzlich auf FB darüber gesprochen, inzwischen gibt es für Avatar Privacy eine Unterseite bei mir. Beta 3 liegt als installierbare ZIP-Datei auf GitHub bereit und ist bei mir bereits erfolgreich im Praxiseinsatz. (Die offizielle 1.0-Release im WP.org-Repository sollte am Wochenende folgen, trunk ist schon aktualisiert.)
Muchos Gracias, Pepe! Super Lösung – ich hab das Plugin beim Checklist-Eintrag zu Gravatar.com mit reingenommen.
… und 1.0 im Repository ist live :)
Yes! Werd’s mir gleich mal installieren.
Und? Doch nicht dazu gekommen oder nicht zufrieden?
Noch nicht dazu gekommen :) Ich werd heute Enfold updaten und dabei gleich Avatar Privacy einbauen.
Bin sehr gespannt auf Dein Urteil :)
Hallo,
wenn man den Webanalysedienst http://s01.flagcounter.com/index.html auf einer privaten Homepage nutzt, muss man dann einen Vertrag über die Datenverarbeitung mit dem Anbieter abschließen? Ist das bei einfachen Besucherzählern auch so?
Vielen Dank.
Hallo Helmut, ich kenne flagcounter.com nicht im Detail, aber nachdem das Script die IPs den Ländern zuordnet, müssen die IPs an irgendeinen Abgleichsdienst geschickt werden. Und das allein reicht aus, damit du einen Vertrag bräuchtest.
Vielen Dank Ritchie. Den Flagcounter habe ich von der Homepage entfernt. Einen Vertrag mit dem Anbieter abzuschließen wäre mir zu aufwendig.
Ja, das verstehe ich – bei so kleinen Features zahlt sich das kaum aus.
Danke für die wirklich interessanten Tipps und Hinweise!
Eine Frage zum DSGVO Hinweis bei Kommentaren. Hier steht u.a. „… sowie IP-Adresse und…“. Wenn die IP Adresse nach dem Absenden anonymisiert bzw. nicht gespeichert wird, könnte der Hinweis mit der IP Adresse doch eigentlich entfallen, oder? Ich frage deshalb, da ja erst einmal ein IP-Adresse übermittelt und erst im zweiten Schritt anonymisiert wird.
Hallo Sven, ja, vollkommen richtig. Allerdings möchte ich nicht darauf verzichten, die IP erstmal zu speichern – ich seh das als vorbeugende Schutzmaßnahme gegen (eventuellen) Missbrauch. Daher lösche ich die IPs erst nach einer Grace Period raus.
Vielen Dank für diese informative und ausführliche Zusammenfassung!
Gern geschehen – danke für das nette Feedback!
Mich würde gerne mal eine ganz andere Betrachtungsweise der DSGVO in den Raum stellen: OK, es gibt bestimmte Vorschriften, die sollte man einhalten. Wenn man sie nicht einhält, was passiert dann? Ich rede jetzt nicht von großen, schweren, offensichtlichewn Verstößen. Ich rede von Allerweltsblogs, die das eine aoder andere Plugin nutzen und damit gegen die DSGVO verstoßen.
Nehmen wir an, ich nutze ein Plugin, das nicht der DSGVO entspricht und betreibe eine Webseite über Goldfischzucht, die von begeisteten Goldfischgzüchtern gelesen wird. OK. Wer kriegt das jetzt mit, dass mein Plugin XY nicht der DSGVO entspricht und was sind die Konsequenzen? Die Datenschutzbeauftragten interessiert das gar nicht. di ehaben eher mit Google%Co. zu tun und das ist auch richtig so. Was sein kann, das ist, dass die lieben Mitbewerber oder Abmahnanwälte aktiv werden.
@ Abmahnungen:
In Deutschland kann man abgemahnt werden. OK. aber dazu muss der Abmahner erst mal technisches Grundwissen haben. Wer nur abmahnt um Geld zu verdienen, findet bereits jetzt Möglichkeiten ohne Ende. Gefühlte 99% der Webseiten sind bereits jetzt auf den ersten Blick abmahngefährdet, weil sie schlechte Sharing-Plugins nutzen, keine Datenschutzerklärung haben oder Ähnliches.
In Österreich ist die Situation ohnehin eine andere. Da gibt es den Abmahnwahnsinn in der Form gar nicht.
Fazit: Ich gehe davon aus, dass es für den durchschnittlichen Seitenbetreiber wohl ausreichen wird die wesentlichsten Punkte dieser Liste abzuarbeiten und dabei vor allem zu sehen, ob die genannten Punkte auch für Laien nachvollziehbar sind. Und ob jetzt Plugin XY in einem Detail gegen die DSGVO verstösst, wird vielleicht nicht gaaaaaanz so wichtig sein. Ansonsten werden wir alle den lieben langen Tag nichts anderes mahr machen als DSGVO-Tests durchzuführen.
Hallo Franz,
ja, da hast du meiner Einschätzung nach recht mit allem. Die Panik steht mittlerweile in keinerlei Relation mehr zu den tatsächlichen Konsequenzen. Wenn in DSGVO-Gruppen Leute ERNSTHAFT fragen, ob sie jetzt alle Kontakte aus ihrem Handy löschen, für die sie keine schriftliche Einverständniserklärung haben (!kein! hypothetisches Beispiel), dann erinnert mich das erstmal an die Y2K Bug Paranoia.
Letztendlich wird es wohl – in de wie at – auf „Es kann der Bravste nicht in Frieden leben, wenn es dem bösen Nachbarn nicht gefällt“ hinauslaufen. Viele potentielle Verstöße wären tatsächlich nur mir sehr viel technischen Insight überhaupt diskutierbar, was den Ausgang zweifelhaft macht. Und damit die Cause per se uninteressant sogar für Abmahnanwälte. Ich denke mir mittlerweile, dass ein pragmatischer Zugang der einzig mögliche ist. Genau wie du schreibst – man will/muss ja zwischendurch auch noch was anderes arbeiten, als 24/7 Kompatibilitätstests durchzuführen ;)
Es gibt ein DSGV konformes WordPress Plugin bei https://www.ultimatelysocial.com/usm-premium
Zu externen Links habe ich eine Idee / Frage.
Das Problem ist ja, dass ich den Inhalt der Zieladresse letztlich nicht kontrolliere bzw, dass diese Zieladresse (z.B. Youtube) IP-Adresse o.ä. des Nutzers abgreifen kann.
In einem e-Learning Kurs habe ich eine schöne Idee gesehen: bei Anklicken eines externen Links erscheint ein Feld mit einem Hinweis („das ist ein externer Link, dessen Inhalt wir nicht verantworten, blablabla“). Diesen Hinweis muss man akzeptieren und erst dann geht es weiter.
Das mag für einen Nutzer ein lästiger zusätzlicher Klick sein – der aber gleichzeitig Bewusstsein schafft.
Leider habe ich den Quellcode nicht lesen können.
Hat jemand eine Idee, wie man diese „Warnbox“ in einen a-href einbaut?
Vielen Dank
Hallo Michael, das wäre für meinen Geschmack übers Ziel hinausgeschossen. Natürlich ist man nicht verantwortlich für den Inhalt von Drittseiten. Wenn das jeder macht, dann klicken wir zukünftig mehr Opt-Ins an als Hyperlinks – und es gibt keinerlei gesetzliche Verpflichtung, externe Seiten so zu kennzeichnen… Aber wenn du den Hinweis trotzdem einbauen möchtest, wär das Exit Notifier Plugin eine Option.
hallöchen ritchie!
kompliment zu deiner wirklich top aufgebauten seite & infos zur sache!
wie ist das eigentlich, wenn ich das wp plugin woocommerce für nen affiliate shop nutze? muss man da auch eine adv wie mit nem hoster abschließen?
dürfte überhaupt ein instagram plugin noch genutzt werden, das die bildchen in miniatur anzeigt? da kommt doch eine verbindung zustande mit nem cdn? könnt ich den user im cookie-banner darauf hinweisen, dass die und die funktionalität eingebaut ist und wenn er das nicht möchte, muss er die seite verlassen?
dankö! würd mich freuen!
carmen
Hi Carmen, ich wär mit Instagram & Co. vorsichtig – dahinter steht immer die Frage, ob es ein berechtigtes Interesse gibt. Derzeit kann niemand abschätzen, wie Gerichte dann letztendlich eine Instabox bewerten werden. Die vorsichtige Lösung wäre ein Opt-In, so wie’s Enfold in der neuesten Version anbietet. Im Prinzip ist jedes Element, das von dritter Seite geladen wird und an diese die IP-Adresse überträgt, ein Problem.
Zum Affiliateshop: Das kommt im Detail darauf an, wie der Shop aufgesetzt ist. Aber in den meisten Fällen wirst du sowohl mit dem Hoster als auch mit dem Affiliate-Netzwerk (wenn Daten übertragen werden, z.B. durch Bilder von CDNs) einen ADV brauchen.
dgsvo gives me no pleasure…erstmal danke für deinen ausführlichen kommentar, ritchie! dieses selektive opt-in könnt ich alternativ auch mit borlabs cookie o. ä. basteln?
mein affiliate-netzwerk-partner meinte auf nachfrage, dass ich als „joint controller“ fungieren würde und alles safe wär, ohne adv usw…dankö schon ma! best, carmen
Hi Carmen, ja, mit Borlabs kannst du den Nutzer zwischen verschiedenen Art von Cookies unterscheiden lassen. Das Hauptproblem, das ich dabei sehe, ist aber, dass Tracking an sich fragwürdig wird, wenn ein beträchtlicher Teil der Nutzer nicht erfasst wird – und verpflichtend wird dieses „echte“ Optin vermutlich erst mit der ePrivacy Richtlinie 2019.
@Affiliate-Netzwerk: Da trifft’s Joint Controller ganz gut – allerdings müsstest du als Seitenbetreiber die entsprechenden Infos dann auch in deine DSE aufnehmen: https://gdpr-info.eu/art-26-gdpr/
Danke erst mal für diesen wirklich ausführlichen Beitrag zu dem Thema DSGVO. Wahnsinn was für eine Arbeit da drin steckt. Mein Respekt gehört Dir.
Um auf Google Analytics zu kommen, ich nutze stattdessen WP-Statistic. Da bleibt alles „on Board“ und es wird nichts ausgeliefert. IP’s können in den Einstellungen schon anonymisiert werden. Für mich ein weiterer Vorteil, es gibt inkludiert einen Cookie-Hinweis, den ich selbst schreiben kann mit einem Code für Zustimmung oder Ablehnung.
Des weiteren habe ich einen Programmierung gefunden, die das Wordfence Plugin überflüssig macht, da ich den Code direkt in die htaccess-Datei einbauen kann und eventuelle Angriffe so abblocken kann. Habe ich auch bereits in eine Kundenseite eingebaut und funktioniert einwandfrei.
Danke noch mal für diesen wahnsinns Beitrag.
Wenn ich darf, möchte ich diesen Artikel mit „Press This“ in meinem Blog einbinden.
Hallo Thomas, du darfst den Artikel sehr gern einbinden – und danke für das Lob!
Ich hab mir WP-Statistic angeschaut, ist ein sehr lässiges Tool. Mein Hauptproblem ist, dass ich in Analytics sehr gut eingearbeitet bin – die ganzen problematischen Tracking-Features interessieren mich eh nicht, aber ich liebe die Custom Reports – solange es gesetzeskonform geht, werd ich bei Analytics bleiben. Schwierig wird’s aber der ePrivacy Richtlinie 2019, wenn modale Cookies Pflicht werden.
Zu Wordfence: Da wär ich vorsichtig – du kannst einige Funktionen auch anders implementieren, aber WF macht noch viel mehr (Source-Code Screening etc.)
Hallo Ritchie,
vielen Dank für die ausführliche Aufarbeitung des Themas!
Ich hab jetzt an mehreren Stellen gelesen, dass E-Mail-Anbieter auch Datenverarbeiter im Sinne der DSGVO sind, da sie z.B. die Mailadressen, Namen und etwaige weitere genannte Daten in einer Mail verarbeiten. Daher brauche man mit dem jeweiligen Anbieter auch einen ADV-Vertrag, der von einigen kostenpflichtigen Anbietern auch bereitgestellt wird.
An anderen Stellen heißt es wieder, es gäbe Pro- und Contra-Argumente für einen Vertrag mit dem Mailanbieter und ob man nun einen bräuchte, müsse letztlich ein Richter entscheiden.
Als Bloggerin, die bislang ein Freemail-Angebot nutzt, für das es keinen Vertrag gibt, überlege ich derzeit, wie ich mich am besten verhalte. Weißt du evtl. genaueres zu dem Thema? Ist ein ADV-Vertrag mit dem Mailanbieter zwingend notwendig?
Viele Grüße!
Hallo Sarah, ich habe die Diskussion verfolgt – da herrscht viel Unklarheit. Ich würd im Zweifelsfall einfach einen eigenen Mailserver (beim Hoster, mit dem man ja sowieso schon ein ADV hat) verwenden.
hallo Ritchie,
wie verhält es sich wenn man ein Forum hat bei ForumRomanum? ForumRomanum stellt ja die technische Basis und man selber ist für den Inhalt des jeweiligen Unterforums verantwortlich. Muss ich mit ForumRomanum einen schriftlichten Vertrag zur Datenverarbeitung haben? Es melden sich die User in meinem Forum ja nicht bei mir sondern bei ForumRomanum an und dort werden auch die Daten verarbeitet, gespeichert und ausgewertet usw.
Die Datenschutzbestimmungen bei FrorumRonamnun wurden ja scheinbar schon DSGVO konform geändert. https://www.forumromanum.de/agb/privacy_de.html
vielen Dank
Gruß Andreas
Hallo Andreas, Forum Romanum kenne ich nicht – aber grundsätzlich wird’s dort ähnlich sein bei allen Hosted Plattformen. Wobei mir nicht klar, wie sich da die Verantwortlichkeiten im Detail zwischen Plattformbetreiber und Plattformnutzer aufteilen. Mit dem Thema hab ich mich aber auch nur sehr am Rand beschäftigt.
Hallo! Danke für die Interesssante Checkliste – offen gesagt etwas chaotisch (so wie das ganze Thema), aber dafür sehr informativ und damit sehr hilfreich.
Ich habe eine Frage für DSGVO-Konformität mit WordPress-Blogs: Können Sie mir sagen, ob ich für WordPress einen AV-Vertrag benötige? Ich bin mir nicht sicher, inwiefern WordPress die Daten meiner User selbst verwertet und würde annehmen, dass hierfür ein Vertrag nötig ist, allerdings finde ich dafür gar keine Vorlagen.
Ich freue mich sehr über eine Antwort!
Mit freundlichen Grüßen
Wolf
Hallo, dankeschön – ja, die Checkliste ist im Lauf der Zeit gewachsen. Ich hab die Edits teilweise dringelassen, um das ganze nachvollziehbar zu machen.
@AV-Vertrag: Meinen Sie ein Blog auf wordpress.com oder ein selber gehostetes? Im zweiten Fall brauchen Sie einen ADV mit Ihrem Hoster – im ersten bin ich mir unsicher. Nach dem gestrigen EuGH Urteil könnte auch wordpress.com in Sachen „geteilte Datenschutz-Verantwortung“ betroffen sein.
Hallo und danke für diesen super ausführlichen Beitrag zur DSGVO für Blogger! Meine Schwester hat seit Kurzem ihren eigenen Youtube-Kanal und hat sich noch gar nicht mit solchen Fragen auseinander gesetzt, weshalb ich ihr jetzt unter die Arme greife und im Netz dazu recherchiere. Mein Cousin wird auch bald sein Praktikum beim Rechtsanwalt machen und zu dem Thema danach vielleicht auch mehr wissen.
Ich habe lange nach einem so detaillierten Beitrag zu der neuen DSGVO gesucht. Ein Freund von mir ist nämlich Blogger und wollte wissen, was sich konkret geändert hat. Ich wusste gar nicht, dass ein Update der Private Policy nicht reicht um der neuen Verordnung zu entsprechen. Ich glaube, er sollte sich einmal mit Rechtsanwälten beraten.
Typisch EU! Seit wann haben diese Möchtegern-Politiker schon Nägel mit Köpfen gemacht?
Ein überbezahlter nichtsnutziger Koloss.
Überbezahlt: Vermutlich ja. (siehe Martin Sonneborns Parlaments-Videos: https://www.youtube.com/user/MartinSonneborn) Aber nichtsnutzig keinesfalls.
Toller Artikel. Ich konnte einiges mitnehmen. Aber wie ist das jetzt bei der Kommentar funktion? Muss dort auch eine Checkbox hin?
lg
Da scheiden sich die Geister der Juristen nach wie vor. Vermutlich ist auf jeden Fall eine Checkbox erforderlich, wenn ein Cookie Name und E-Mail speichert. Für die Kommentarspeicherung als solche ist’s dagegen fraglich.
Eine vollständige, anonymisierte Speicherung von IP-Adressen ist durchaus möglich, ohne dabei irgendwelche Persönlichkeitsrechte zu verletzen oder gar die IP-Adressen zu kürzen. Dazu generiert man einen Hash der IP-Adresse. Dieser ist einzigartig, lässt sich aber nicht zurückrechnen und erlaubt dadurch auch keinen Rückschluss auf die jeweilige Person hinter der Adresse. Bei der gekürzten Speicherung wie bspw. bei Google Analytics gehen Daten verloren, da sich die gekürzte IP quasi auf den gesamten Adressbereich bezieht (also maximal 256 mögliche Adressen).
Ja, da hast du recht – schade, dass Analytics diese Option nicht anbietet.
Benötigen Sie ein Darlehen? Wir bieten ein Geschäftsdarlehen für Geschäftskredite an, die Sie so niedrig wie 2% benötigen, um ein Darlehen zu erhalten. E-Mail: arnoidweman@gmail.com
Es ist mittlerweile wirklich von großem Vorteil, so viel Funktionalität als möglich selbst zu hosten. Da erspart man sich möglicherweise unnötige Scherereien. Aber bei fortschreitender Vernetzung verheddert man sich schon mal im DSGVO-Gestrüpp…
Vielen Dank für die Erläuterung der vielen nützlichen Aspekte!
schon allein für die Webadresse bekommst du großes Log (immerhin hab ich so auch zu deiner SEite gefunden). Inhaltlich top und hoch informativ ! Vielen Dank!
Hallo,
Damit soll die breite Öffentlichkeit darüber informiert werden, dass lendinhome, ein privater Kreditgeber, eine finanzielle Chance für alle bietet, die finanzielle Hilfe benötigen. Wir vergeben Kredite an Privatpersonen und Unternehmen zu einem Zinssatz von 2% zu klaren und verständlichen Bedingungen. Kontaktieren Sie uns noch heute per E-Mail, damit wir Ihnen unsere Kreditbedingungen mitteilen können: (lendinhome@gmail.com)
Danke erstmal für Deinen detaillierten Blog-Eintrag.
Ich hatte jedoch gehofft, es wäre unkomplizierter sobald man sich einliest. Aber je mehr man sich mit diesem Thema befasst, desto verwirrter wird man.
Ich werde zumindest erstmal versuchen deine Schritte umzusetzen. Learning by Doing, oder?
Respekt an Dich, dass Du da so einen Durchblick schaffen konntest!
LG Marcus
Dankeschön – und ja, definitiv Learning by Doing. :)
Danke für die coole Liste! Hab nochmal alles überprüft sehr praktisch danke!
Echt umfangreiche Checkliste und eine gute Orientierung für Webdesigner, die das Thema berücksichtigen wollen. Zu Borlabs haben wir neulich ein Video gemacht: https://www.youtube.com/watch?v=9kdeG8f3snA
VG und super Blog!
Niklas
Seit 2018 keine Updates mehr? Ich habe auf meiner Website das mal etwas weitergeführt und zusammengefasst auf die Grundlegenden Dinge, auf die es ankommt. Hier ist mir zuviel unnüztes Zeug dabei, was viel Input ist, obwohl es relativ wenig zu erledigen oder zu beachten ist.
Es gibt zum Thema Datenschutz und DSGVO einiges Neues auch bei Kryptowährungen. Datenschutzfähige Kryptoanwendungen kommen für Unternehmen, aber nicht über Nacht. https://amp-news.de/2007/07/01/datenschutzfaehige-kryptoanwendungen-kommen-fuer-unternehmen-aber-nicht-ueber-nacht/