Zuletzt aktualisiert am 3. Dezember 2018 um 9:51

Die neue EU-Datenschutzgrundverordnung – DSGVO – schreckt im Moment ordentlich die Bloggerszene auf. Ja, diese DSGVO müssen auch wir Blogger beachten und umsetzen. Dafür sind auf dem eigenen Blog eventuell ein paar Anpassungen nötig. Wir haben uns in den letzten Wochen ein wenig mit dem Thema beschäftigt und möchten mal zeigen, was wir auf dem Reisen-Fotografie-Blog umgesetzt haben oder noch umsetzen werden.

Achtung – wir sind keine Datenschutzprofis

Wichtiger Hinweis vorab: Wir sind keine Datenschutzprofis und dieser Beitrag ist sicherlich keine Rechtsberatung!

Auch wenn Thomas als ITler beruflich ebenfalls mit der DSGVO zu tun hat, alle Erkenntnisse basieren auf unsere eigenen Recherchen und inneren Eingebungen. Ebenso gelten die Erkenntnisse für Deutschland. Wie das in Österreich oder gar in der Schweiz aussieht, mögen wir gar nicht beurteilen. Für Österreich haben wir aber unten zwei Beiträge verlinkt.

Nachmachen, abgucken und unseren Geschreibsel glauben – ausdrücklich auf eigene Gefahr!

Es kann auch sein, dass Dinge die bei uns hier funktionieren, auf einem anderen Blog nicht umzusetzen sind. 

Viele Dinge in der DSGVO und deren Auslegung sind auch umstritten oder unklar. Daher bekommt man zu einem Thema oft 2-3 unterschiedliche Meinungen zu lesen, auch von Datenschutz- und IT-Recht-Fachleuten. Viele Dinge werden erst in den nächsten Wochen oder Monaten klar geregelt sein, manches wird vielleicht erst in Gerichtsverfahren geklärt, die auch über Jahre gehen können. Dazu arbeiten viele Diensteanbieter im Moment noch an Lösungen um ihre Dienste gemäß DSGVO anbieten zu können. Auch hier wird noch eine Menge passieren bis zum 25.05. und auch darüber hinaus. Daher lebt auch dieser Artikel hier. Manche Dinge, die wir gemacht haben, können in ein paar Wochen überflüssig sein. Wir versuchen die einzelnen Punkte aber so aktuell wie möglich zu halten. Daher werden hier nach und nach auch neue Erkenntnisse eingebaut.

Was ist eigentlich diese EU-Datenschutzgrundverordnung (DSGVO)?

Die EU-Datenschutzgrundverordnung ist eine neue, europaweit einheitliche, Vorschrift für den Umgang mit personenbezogenen Daten von Unternehmen. Sie wird ab dem 25. Mai 2018 in Kraft treten und dann viele Regelungen des jetzigen Bundesdatenschutzgesetzes (BDSG) ablösen. Genau genommen trat die DSVGO schon im Mai 2016 in Kraft, sie wird aber erst ab kommenden Mai umgesetzt werden.

Und nein, Deutschland muss die Verordnung nicht erst in deutsches Recht umsetzen. Eine EU-Verordnung gilt immer direkt (anders als Richtlinien). Allerdings können die Mitgliedstaaten Gestaltungsspielräume nutzen und diese im nationalen Recht festschreiben. Daher wird das oben bereits genannte Bundesdatenschutzgesetz (BDSG) noch angepasst werden.

Die Erfahrung aus anderen Gesetzen und Vorschriften zeigt aber, dass Deutschland eher dazu neigt die Verordnungen besonders streng und mit allen Konsequenzen umzusetzen.

EU-Datenschutzgrundverordnung (DSGVO) – nur für Unternehmen?

Bei dem obigen Absatz, dass es sich um eine Vorschrift für den Umgang von personenbezogenen Daten von Unternehmen handelt, hörten wir einige von Euch schon innerlich jubeln. Wir sind doch nur Blogger, so aus Hobby und Spaß an der Freude. Dachten wir auch erst. Aber denkt kurz nach: Habt ihr auch nur einen Werbebanner auf dem Blog? Nutzt Ihr Affiliate Links um ein paar-Euro-fuffzig zu verdienen? Habt ihr auch nur eine Seite, wo ihr Kooperationen oder ein Media-Kit anbietet? Merkt ihr was? Arschkarte!

Selbst wenn ihr jetzt immer Nein gesagt habt und keine der kleinen Möglichkeiten eines Nebenverdienstes nutzt – wir mögen nicht beurteilen, ob das davon befreit die Vorgaben der DSGVO umzusetzen. Das ist aber erst eine der vielen offenen Fragen zu dem Thema.

Unsere generelle Meinung zu einer neuen Datenschutzregelung

Mal eine persönliche Meinung, ganz generell zur Datenschutzgrundverordnung. Ja, es wurde Zeit für eine neue Regelung, welche den Anforderungen der modernen, digitalen Welt entspricht. Jeder von uns möchte, dass Firmen sorgfältig mit unseren Daten umgehen. Ja, wir befürworten das Verstösse gegen den Datenschutz empfindlich bestraft werden. Ja, auch eine EU-einheitliche Regelung ist durchaus sinnvoll.

Aber…

Ob es nun das Monster sein muss, was da aus Brüssel gekommen ist? Wir können es als Laien nicht wirklich bewerten. Uns kommt es unheimlich gewaltig und mächtig vor. 

Uns persönlich stört besonders die Tatsache, dass die meisten Regelungen für alle gelten. Völlig egal, ob man nun ein 100.000-Mitarbeiter-Konzern ist oder ein 1-Personen-Reiseblog. Natürlich muss auch der 1-Personen-Reiseblog die Daten seiner Leser sorgfältig behandeln, keine Frage. Trotzdem wäre bei manchen Regelungen ein wenig mehr „Fingerspitzengefühl“ oder zumindest eine Abstufung nach Unternehmensart und -größe sinnvoll gewesen. Mehr dazu übrigens gleich im Kapitel zum Verarbeitungsverzeichnis.

Andererseits müssen wir zugeben, dass wir uns in den letzten Wochen zum ersten Mal so richtig Gedanken gemacht haben – welche Daten speichern wir von unseren Lesern, wo speichern wir diese und muss das sein. Nicht dass wir vorher leichtfertig irgendwelche Daten öffentlich stehen hatten. Das war natürlich nicht so. Aber man hat doch sehr auf viele Systeme einfach so vertraut oder sich keine Gedanken gemacht, wo in der Welt sitzt der „Andere“ eigentlich.

Daher ist die Motivation durch die neue DSGVO nicht unbedingt negativ zu bewerten. Und ich denke, wir „normalen“ Blogger, ohne Shop, ohne Memberbereich usw. können das recht problemlos stemmen. Es besteht auf jeden Fall keinen Grund in Panik oder Hysterie zu verfallen. Was man da teilweise liest, unglaublich.

[Edit am 21.03.2018] – Mittlerweile denken wir, dass die Gesetzgeber einen großen Fehler gemacht haben. Und zwar mit der Maßnahme, die IP-Adresse als persönliche Daten einzustufen. Die IP-Adresse ist die Grundlage dafür, dass das Internet funktioniert. Egal wo ich was runterlade, eine Seite öffne,  Mails versende, irgendwas im Internet mache wird halt die IP-Adresse benötigt damit der Sender seine Daten zum Empfänger senden kann. Bei Otto-Normal-User, der von seinem Provider eine IP-Adresse bekommt, kann auch nur dieser Provider sagen, welche Person wann mit welcher IP unterwegs war. So ist die Masse der Menschen im Netz nicht so einfach an seiner IP-Adresse zu identifizieren. Ausnahmen sind hier natürlich die User, die eine statische IP-Adresse haben. Aber selbst hier ist die Zuordnung nicht unbedingt auf eine bestimmte Person möglich. Wer zum Beispiel aus einem Firmennetzwerk ins Internet geht, ist ebenfalls nicht identifiziert, da man lediglich die Firma ableiten kann, welche Besitzer der IP-Adresse ist. 

Genug gejammert und genörgelt – anpacken ist angesagt

So, das war jetzt aber genug Einleitung, Gejammer und Genörgel. Und warum? Weil es nichts bringt. Die DSGVO kommt und wird umgesetzt, ob es uns nun gefällt oder nicht. Und jede Minute, die wir mit Jammern und Nörgeln verschwenden, können wir viel besser in die Umsetzung der nötigen Maßnahmen auf unserem Blog (und unseren anderen Seiten) investieren. 

Ein sehr gutes Plädoyer gegen das Jammern ist übrigens noch bei Jonas von den WP-Ninjas erschienen: https://wp-ninjas.de/wordpress-dsgvo

DSGVO – Grundregel Nummer 1: Keine Panik!

Die DSGVO ist etwas, womit man sich als Blogger beschäftigen sollte. Wer bisher nichts gemacht hat, sollte so langsam anfangen sich mit der Thematik zu beschäftigen.

Aus unserer Sicht gibt es aber keinen Grund in totale Panik zu verfallen. Es ist nicht nötig seinen Blog komplett vom Netz zu nehmen, es ist nicht nötig die Kommentare im Blog abzuschalten.

Sicherlich sind einige Dinge zu erledigen, ein paar ToDos abzuarbeiten. Aber glaubt ihr denn wirklich, wir Blogger würden im Fokus der Datenschutzbehörden stehen, wenn die Verordnung am 25.05, in Kraft tritt? Die werden Besseres zu tun haben als bei den kleinen Bloggern nach Fehlern zu suchen und dann wild mit Bußgeldern um sich zu werfen. Das Bußgeld ist auch in der Eskalations-Leiter der Behörden nicht die erste Stufe. 

Wenn die Behörden sehen, dass man sich mit dem Thema beschäftigt hat, dass einem der Datenschutz nicht ganz fremd ist, gibt es auch noch das Mittel der Verwarnung mit der Aufforderung, die Schwachstelle in einem Zeitraum X abzustellen. Das sollte man dann tunlichst auch erledigen.

Dann gibt es noch die große Unbekannte, die Abmahnvereine und Abmahnanwälte. Keiner weiß, was ab dem 25.05. aus der Ecke kommen wird. Nur wenn man heute durchs Netz surft und sich einige Blogs mal genauer ansieht, so sind auch heute schon viele davon abmahnfähig. Sei es wegen fehlerhaften Angaben im Impressum oder anderen Dingen. Und was passiert da? Richtig, meistens genau nichts. 

Dazu kommt, das viele Dinge, die jetzt im Rahmen der DSGVO für eine gewisse Hektik bei manchen Leuten führen, auch zu Zeiten des BundesDatenSchutzGesetzes (BDSG) schon nicht erlaubt waren. Nur, irgendwie hat das keinen interessiert, auch wenn man drauf hingewiesen hat. Das beste Beispiel dafür ist die berühmte Facebook-Like Box, die munter Daten aller Seitenbesucher zu Facebook sendet. Das war auch unter dem BDSG schon verboten. Hat nur niemanden gejuckt, da nicht diese hohen Bußgelder im Raum standen.

Also, sachlich und nüchtern an das Thema Datenschutz heran gehen. Vergleicht zu verschiedenen Themen auch mehrere Quellen. Auch unser Beitrag hier ist sicherlich nicht komplett fehlerfrei oder wir interpretieren Dinge anders als andere Leute mit mehr Fachwissen. Solltet ihr so eine Stelle entdecken, sind wir übrigens Dankbar für Quellen mit mehr Fachwissen.

Und mehr Datenschutz schadet nicht, tut nicht weh und Eure Leser werden es Euch danken, auch wenn sie es vermutlich gar nicht merken werden.

Datenschutzbehörden und Abmahngefahr durch Mitbewerber

[Edit 04.05.2018] – Die große Verunsicherung in der Online-Szene kommt durch die latent im Raum stehende Abmahngefahr durch Mitbewerber, die ja nach ersten Aussagen bei Verstössen gegen die DSGVO möglich sein soll.

Wir als Blogger müssen wohl keine Angst vor den Datenschutz-Aufsichtsbehörden haben. Diese werden in den nächsten 1-2 Jahren genug mit sich selbst zu tun haben. Da fehlt Personal, Mitarbeiter müssen qualifiziert werden und Prozesse etabliert werden. Und selbst wenn das alles gelaufen ist, werden sich die Behörden sicherlich nicht direkt auf die kleinen Blogger stürzen.

Weiter sind die horrenden Bußgelder wohl kaum eine Gefahr für kleine Blogger. Es wird zwar klar gesagt, ein Bußgeld bei einem schwerwiegenden Datenschutzverstoss soll weh tun. Trotzdem gilt bei der Verhängung von Bußgeldern immer noch die Verhältnismäßigkeit. Die Behörden haben zudem gesagt, dass Bußgelder nicht unbedingt die erste Stufe auf der Eskalationsleiter sind. Es gibt, bei kleineren Vergehen, durchaus auch die Mittel der Verwarnung mit Aufforderung zur Beseitigung der Fehler. Und welchen schweren Datenschutzverstoss soll ein kleiner Blogger denn begehen? Die wenigsten von uns werden riesige Kundendatenbanken, womöglich mit brisanten Daten, besitzen, die plötzlich öffentlich im Netz zu sehen sind.

Zum Thema Abmahnungen gibt es auch eine neue Sichtweise. Der bekannteste Wettbewerbsrechtler Deutschlands, Prof. Dr. Helmut Köhler, sieht das Thema Abmahnungen ein wenig anders. Seiner Meinung nach sind Verstösse gegen die DSGVO eben nicht wettbewerbsrechtlich Abmahnbar. Mehr dazu findet ihr in einem tollen Artikel der Kanzlei Löffelr und Abrar:

Wenn das wirklich so ist, dann wird dem Thema DSGVO ein wenig die Schärfe genommen. Natürlich muss man sich weiter mit dem Thema beschäftigen, wenn einem der Datenschutz seiner Leser wichtig ist. Natürlich sollte man das Thema DSGVO nun nicht komplett zur Seite legen. Aber die latente Angst vor einer Abmahnung wäre ausgeschaltet. Und diese würde so lange bestehen bleiben, bis endlich viele unklare Dinge durch richterliche Beschlüsse endlich mal geklärt werden, was allerdings Jahre dauern  kann.

DSGVO auf dem Reisen-Fotografie-Blog – unsere Maßnahmen

Wir haben uns in den letzten Wochen mit dem Thema DSGVO insoweit beschäftigt, dass wir viele Themen recherchiert haben und gefundene Tipps von Fachleuten hier auf dem Blog (und unseren anderen Seiten) umgesetzt haben. Entgegen der vorherigen Befürchtungen waren das gar nicht soooo viele Maßnahmen und einige haben wir auch noch zurück gestellt.

Analyse – Welche personenbezogenen Daten speichern wir von unseren Lesern?

Am Anfang unseres Prozesses stand die Analyse, welche Daten von unseren Lesern speichern wir eigentlich? Da kamen wir zu folgender Liste:

  • Name
  • E-Mail-Adresse
  • IP-Adressen
  • Cookies (?)

Der Punkt Cookies war für uns ein wenig verwirrend. Wir speichern keine Cookies von unseren Lesern. Aber unsere Seite, genauer genommen Google Analytics oder Piwik, hinterlassen beim Leser einen oder mehrere Cookies. In diesem wird eine Session ID hinterlassen. Mit dieser ID kann der Leser erkannt werden, wenn er unseren Blog später nochmal besucht. Er wird dann eben nicht als neuer Besucher gezählt sondern als netter Leser, der gerne wiederkommt. Mit der Session-ID, in Verbindung mit der IP-Adresse, lässt sich aber ggf. die Identität eines Lesers feststellen. Zumindest theoretisch ist das möglich. In der Praxis geht das bei uns nicht, da wir die IP-Adressen in Google-Analytics anonymisiert speichern.

Aber viel mehr als diese Daten „sammeln“ wir gar nicht von unseren Lesern ein. Wozu auch, wir hätten nichts von weiteren Daten. Und die Daten, die wir sammeln, nutzen wir für Statistiken. Und diese Statistiken wiederum nutzen wir um zu schauen, was bei unseren Lesern gut ankommt.

Newsletter

Das erste Opfer der DSGVO war unser Newsletter. Wobei die neue DSGVO nur der Auslöser dafür war, uns von einem ungeliebten Kind zu trennen. Der Newsletter stand schon lange auf dem Prüfstand. So richtig brachte der uns keine Leser, wurde von uns auch nur automatisiert mit neuen Beiträgen gefüllt. Da man uns aber auch auf vielen anderen Kanälen folgen kann, machte der so keinen wirklichen Sinn.

Als Dienstleister waren wir bei Mailchimp. Dieses Unternehmen sitzt in den USA. Somit wurden auch alle unsere Daten unserer Newsletter-Abonnenten (Mailadresse und Name) auf einem Server in den USA gespeichert und verwaltet. Selbst das ist mit der DSGVO machbar, wenn es richtig gemacht wird. Mit Mailchimp muss ein Abkommen zur Auftragsdatenverarbeitung geschlossen werden. Zusätzlich muss Mailchimp nach dem EU-US-Privacy-Shield zertifiziert sein. Dieses Abkommen regelt, das US-Unternehmen nach den europäischen Datenschutzvorschriften arbeiten.

Mailchimp erfüllt diese Forderungen. Wer diesen Newsletter-Dienst weiter nutzen möchte, findet bei RA Schwenke eine ausführliche Anleitung inkl. Checkliste:

Wir persönlich haben aber ein wenig Bauchschmerzen beim Thema EU-US-Privacy-Shield. Irgendwie scheint das doch nicht soooo safe zu sein, wie man hier und da liest. Man liest ebenso Berichte, die das sehr kritisch beurteilen (https://www.datenschutz-notizen.de/ueberraschung-art-29-gruppe-aeussert-bedenken-zum-privacy-shield-5019963/). Und dazu kommt noch so ein US-Präsident. Wenn der auf die wahnsinnige Idee kommt, das Abkommen zu kündigen – dann viel Spaß. Und für wahnsinnige Ideen ist er ja bekannt.

Ganz ehrlich, für uns als Laien ist das alles ein wenig undurchsichtig. Und da wir den Newsletter eh weg haben wollten, kam auch als Alternative kein deutscher/europäischer Anbieter in Frage. Wir haben uns entschlossen den Newsletter einzustellen. In einer letzte Mail haben wir unsere Abonnenten über den Schritt informiert. Danach haben wir die Adressdatenbank bei Mailchimp gelöscht und unseren Account dort aufgelöst.

[Edit am 21.03.2018] – Mailchimp bietet inzwischen einen Auftragsverarbeitungsvertrag an: https://mailchimp.com/legal/forms/data-processing-agreement/

Fazit Newsletter: Erledigt weil abgeschaltet – aber nicht wegen der DSGVO – wenn er effektiv gewesen wäre hätten wir ihn behalten und ggf. den Anbieter gewechselt.

Kommentare auf dem Blog

Die Kommentare auf dem Blog sind der nächste Punkt auf der Liste. Hier speichern wir den Namen des Kommentierenden, seine Web-Seiten-URL (freiwillige Angabe), seine Mailadresse und seine IP-Adresse.

Die Daten werden auf unserem Webserver gespeichert, bleiben also bei uns bzw. unserem Hoster. In Zukunft soll es wohl erforderlich sein, den Kommentierenden vor dem Absenden des Kommentars darauf hinzuweisen und ihn bestätigen zu lassen, dass er damit einverstanden ist. Dies ist mit einem Plugin in WordPress relativ leicht einzurichten:

Dieses Plugin fügt eine weitere Checkbox zum Kommentarfeld hinzu. Der Text kann frei gewählt werden. Ob hier ein komplette Hinweis auf die Vorgehensweise hin muss oder ein Links zur Datenschutz-Seite genügt, konnten wir noch nicht so richtig klären. Wir haben das Plugin getestet, es funktioniert. Allerdings haben wir das bis zum Mai noch deaktiviert. Wir wollen unsere Leser nicht  mit zusätzlichen Checkboxen belästigen, solange das nicht unbedingt nötig ist.

Ein weitere Punkt sind die gespeicherten IP-Adressen der Kommentierer. Wozu brauchen wir die eigentlich? Eben! Wir brauchen die für nichts – die können weg. Auch hierfür gibt es ein Plugin, damit diese in Zukunft nicht mehr gespeichert werden. Noch einfacher geht es mit einem kurzen Code in der functions.php des Child-Themes. Zusätzlich können alle bereits gespeicherten IP-Adressen der Kommentare aus der Datenbank gelöscht werden. Wie das alles funktioniert findet ihr auf dem Kritzelblog:

Wenn ihr aber die IP-Adressen löscht, warum behaltet ihr dann die Mailadressen? Rechtlich sind Mailadressen und IP-Adressen gleichgestellt, was die Einstufung als persönliche Daten angeht. Und in unserer persönlichen Wahrnehmung sind Mailadressen eher einer Person zuzuordnen als eine IP-Adresse. Daher, wenn ihr die IPs entfernen wollt, dann denkt auch über die Mailadressen nach. Löschen kann man die einfach in der Datenbank. Und wenn man den obigen Code für die functions.php entsprechend anpasst, dann funktioniert der sicherlich auch für Mailadressen.

[Edit am 10.04.2018]Wichtig! Denkt bitte daran, dass ihr nach dem Abschalten der Speicherung von IP-Adressen die Kommentare alle moderieren müsst. Eine automatische Freischaltung von Kommentaren kann zu Problemen führen. Wenn jemand etwas illegales schreibt und das wird angezeigt, fehlt ohne die IP-Adresse ein Ansatz für die Ermittlung des Absenders. Wir moderieren hier aber sowieso jeden einzelnen Kommentar, daher war auch hier kein Grund für die IP-Adressen-Speicherung gegeben. Und, nur so nebenbei, in fast 10 Jahren, und über 8000, Kommentaren haben wir keinen Kommentar bekommen, der strafrechtlich relevant gewesen wäre. Das kann aber bei Blogs in anderen Themenbereichen ganz anders aussehen.

Fazit Kommentare: Zusätzliche Checkbox Datenschutzhinweis in Betrieb/ IP-Adressen-Löschung erledigt/ Löschung der Mailadressen überdenken wir noch.

Google Analytics oder doch lieber Matomo (Piwik) oder doch Google oder doch wieder Matomo…

Nächste Baustelle, Google Analytics. Hier waren wir vor dem Thema DSGVO schon recht sicher unterwegs. IP-Adressen werden anonymisiert übertragen. Abkommen zur Auftragsdatenverarbeitung ist (für alle unsere Webseiten) seit Jahren mit Google abgeschlossen. Und sollte der EU-US-Privacy-Shield mal platzen, können wir ruckzuck auf Piwik umschwenken, welches bereits auf unserem Webserver schlummert.

[Edit am 26.03.2018] – Der Vertrag zur Auftragsverarbeitung kann nun online mit Google geschlossen werden. Das ist in Deutschland, solange das BDSG noch gültig ist, nicht zulässig. Ab dem 25.05. und dem Inkrafttreten der DSGVO ist der Online-Abschluss des Vertrages dann gestattet. Ihr findet den Vertrag in den Einstellungen des Google-Analytics Kontos unter den Kontoeinstellungen. Dort steht ganz unten der Punkt „Zusatz zur Datenverarbeitung“.

Dort müsst ihr einen Ansprechpartner (Vertragspartner) unter „Dateils zum Zusatz verarbeiten“ eingeben. Ich habe für mich dort nur einen „primären Kontakt“ hinterlegt. Einen Datenschutzbeauftragten oder einen Beauftragten für die Europäische Union haben wir nicht. Danach kann man sich die Vereinbarung (in englisch) anzeigen lassen und zustimmen. Danach noch auf Speichern klicken – fertig.

Den Inhalt des Auftragsverarbeitungs-Vertrages in deutsch findet ihr hier: https://privacy.google.com/businesses/processorterms/

Denkt Bitte dran, wenn ihr mehrere Properties (Seiten) in Google Anlaytics habt, müsst ihr den Vertrag für jede einzelne Seite wiederholen.

[Edit am 13.04.2018] – Mit der neuen EU User Consent Policy hat Google sich für uns disqualifiziert und wir werden doch auf Matomo (Piwik) umstellen. Bis zum 25. Mai werden wir beide Dienste parallel laufen haben um keine Lücken in der Statistik zu haben, danach schalten wir dann Google Analytics ab, wenn nicht noch andere Erkenntnisse oder Interpretationen eine Weiternutzung erlauben.

[Edit am 02.05.2018] – Die Datenschutzkonferenz hat in ihrem aktuellen Positionspapier die Meinung vertreten, dass für Tracking-Cookies ein Opt-In wohl doch sofort erforderlich ist. Der Zeitpunkt für diese Entscheidung, rund 4 Wochen vor dem Inkrafttreten der DSGVO ist eine Unverschämtheit und die technische Umsetzung auch nicht so einfach. Auf dem Markt gibt es zur Zeit nur ein (kostenpflichtiges) Plugin, welches das abbilden würde.

Außerdem halten wir es für das Ende von aussagekräftigen Statistiken, wenn das Tracking und das Setzen der Cookies erst durch ein aktives Zustimmen erfolgen. Der normale User XY wird doch niemals auf Zustimmen klicken. Jahrelang wurde allen Menschen erzählt, stimmt im Internet nichts zu, was ihr nicht kennt. Und was hat der normale Leser mit Statistiken am Kopf.

Da sich das Opt-In nur auf das Setzen der Cookies bezieht, haben wir ein wenig geforscht. Bei Piwik/Matomo ist eine Statistik der Webseite auch ohne Cookies zu setzen möglich. Natürlich ist die Erkennung der neuen/wiederkehrenden Besucher dann nicht mehr sehr genau. Auch lassen sich keine Kampagnen mehr auswerten und einige weitere Statistiken funktionieren dann nicht mehr. Da wir diese Dinge aber alle nicht brauchen, uns interessieren einfach nur die Besucherzahlen, haben wir Piwik nun so eingestellt, dass kein Cookie mehr gesetzt wird.

Wir das funktioniert, könnt ihr hier nachlesen: https://matomo.org/faq/general/faq_157/

Was dann im einzelnen nicht mehr funktioniert, findet ihr hier: https://matomo.org/faq/general/faq_156/

Weitere Infos zum Positionspapier der Datenschutzkonferenz findet ihr unter folgenden Links:

[Edit am 04.05.2018] – Zum Thema Cookies und Opt-In beim Benutzertracking überschlagen sich gerade die Meinungen und Neuigkeiten. Allgemein geht der Tenor in die Richtung, dass die Aussagen aus dem Positionspapier der DSK nicht haltbar sind. Das sie komplett an der Praxis vorbei sind, das war eh schon klar. Hier setzt sich die Meinung durch, dass das bisher angewendete Prinzip der Einbindung mit Opt-Out in der Datenschutzerklärung und ein begründetes berechtigtes Interesse nach Art.6 Abs.1 lit. f laut DSGVO ausreicht. Auch hierzu interessante und auflärende Links:

[Edit am 09.05.2018] – Bei den Statistik-Tools sind wir aktuelle nur noch eines: Verunsichert.

Wir haben in den letzten Wochen ja parallel Matomo/Piwik im Einsatz gehabt. Das Ergebnis war ein wenig verwirrend. Irgendwie liefert Matomo andere Zahlen. Nicht unbedingt schlechtere als Google Analytics, aber die Verhältnisse zwischen Seitenbesucher und aufgerufene Seiten, das passt vorne und hinten nicht. Dazu kam, dass das Laden der benötigten js-Dateien unsere Blogladezeiten teilweise in den Keller gezogen hat. Kurz und knapp – wir sind mit Matomo unglücklich.

Zwischendurch haben wir noch den eTracker installiert, ein kostenpflichtiges Analysewerkzeug. Nur setzte dieses noch mehr Cookies und andere Dateien, das haben wir also schnell wieder entfernt.

Also bleibt uns nur Google Analytics, wenn wir brauchbare Besucherstatistiken benötigen? Wir befürchten, ja!

Was also tun. Wir haben also mal überlegt, warum wir eigentlich Google Analytics benötigen. Sicherlich einerseits um zu sehen, was für einen tollen Blog wir haben und uns ständig an den Zahlen zu erfreuen. Nur kann man daraus kein berechtigtes Interesse für den Einsatz nach DSGVO ableiten. Dies können wir eher damit begründen, dass wir anhand der Zahlen sehen können, welche Beiträge kommen bei unseren Lesern gut an. Weiter brauchen wir die Zahlen für potentielle Kooperationspartner. Diese wollen von uns wissen, wieviele Besucher kommen hier eigentlich auf dem Blog. Daher sind die Zahlen auch in unserem Media-Kit veröffentlicht. Und an dieser Stelle greift ein berechtigtes Interesse.

Wie die IT-Rechts Kanzlei im oben verlinkten Artikel schreibt, können Direktmarketing-Maßnahmen durchaus mit dem Beleg von berechtigtem Interesse eingesetzt werden. Um Marketing von unserer Seite aus betreiben zu können, brauch wir aber erstmal Zahlen, die wir vermarkten können. Dazu kommt, dass die ePrivacyVO, im aktuellen Entwurf, der Messung von Webseitenbesuchern eine Priveligierung erteilt, dass eben genau dafür keine EInwilligung notwendig ist. 

Diese Ansichten von Fachleuten haben uns dazu bewogen, Google Analytics erstmal weiter einzusetzen und zwar rechtskonform mit anonymisierter IP, Opt-Out in der Datenschutzerklärung, einem begründeten berechtigtem Interesse (in der Datenschutzerklärung). Weiter haben wir in Google Analytics die Speicherung der anonymisierten IP-Adressen auf die kürzeste Zeit von 14 Monaten eingestellt, alle Marketing- und eCommerz-Funktionen genauso deaktiviert wie die Analyse von User-IDs. Dies alles kann übrigens in den Einstellungen von Google Analytics vorgenommen werden.

Ein Opt-In für die Analyse kommt nicht in Frage. Denn wenn das eingeschaltet wird, kann man die Analyse auch komplett löschen. Tests haben ergeben, dass nur ein Bruchteil der Besucher der Analyse zustimmt. Viele Besucher verlassen die Seite auch, weil sie von der Abfrage abgeschreckt werden. Sollte also richterlich in den nächsten Wochen/Monaten ein Opt-In für das Statisik-Tracking vorgeschrieben werden, dann wäre dass das Ende aller Statistiken im Netz. Damit wäre das Thema eCommerz oder der Online-Handel mausetot. Soviel zum Thema, Deutschland will ein führendes IT-Land werden. Wenn wir mal wieder aufhören zu lachen, besteht zu dem Thema vielleicht endlich mal Klarheit.

[Edit am 16.05.2018] – Wir haben uns nochmal mit Matomo beschäftigt und hatten da wohl einen Fehler eingebaut. Jetzt zählt es richtig. Also wird Google Analytics in den nächsten Tagen vom Blog verschwinden und wir werden mit Matomo ohne Cookies arbeiten. Wenn nicht noch wieder was dazwischen kommt. *hiersolltenuneinAugenrollEmojistehen-aberdiesindjaböse`

[Edit am 22.05.2018] – Die Entscheidung ist gefallen. Google Analytics ist abgeschaltet auf dem Blog, wir arbeiten jetzt mit Matomo ohne Cookies.

Fazit Google Analytics / Matomo:  Erledigt  Google Analytics entfernt, durch Matomo ohne Cookies ersetzt.

Cookies

Unser Blog selber setzt für sich keine Cookies bei den Lesern. Lediglich Google Analytics hinterlässt dreiUnsere Cookies Session-Cookies. Gleichzeitig ist Google Analytics der einzige Tracker, der auf unserem Blog aktiv ist. Dazu kommt auf einigen Seiten noch ein Cookie von VG-Wort, welches Zähldaten an die Verwertungsgesellschaft liefert.

Wer das für seinen Blog mal testen möchte, der kann das mit dem Browser-Plugin Ghostery testen (https://www.ghostery.com/de/products/). Damit könnt ihr wunderbar alle Tracker auf einer Webseite sehen. 

Ob und welche Cookies Euer Blog setzt, könnt ihr am besten mit dem Firefox-Browser testen. Startet dazu eine Sitzung löscht alle Cookies. Danach ruft ihr Eure Seite auf und lasst Euch danach alle Cookies anzeigen. Bei uns sind es halt die drei Google-Analytics Cookies aus dem Screenshot.

Die endgültige Regelung der Cookies wird erst in der ePrivacyVO geregelt werden, welche wohl erst 2019 kommt. Die ist verschoben worden, weil sie an vielen Stellen noch überarbeitet werden muss. In der DSGVO werden Cookies nicht direkt behandelt. Unter die DSGVO würden nur Cookies fallen, die persönliche Daten beinhalten. Das machen GA- oder Piwik-Cookies aber nicht. Da wird nur eine Session-ID abgelegt, um wiederkehrende Besucher zu erkennen.

Die kommende ePrivacyVO schreibt, nach aktuellem Stand, vor, dass Cookies demnächst per Opt-In bestätigt werden müssen. Also muss der Leser dem Setzen des Cookies aktiv (!) zustimmen. Tut er das nicht, so muss er trotzdem Zugang zu der Seite bekommen, nur eben ohne Cookie. Das wäre allerdings für die Statistik von Google Analytics doof. Der User würde dann nicht mehr gezählt werden.

Jetzt kommt aber die gute Nachricht. Für Cookies, die zur reinen Reichweitenmessung eingesetzt werden, reicht auch zukünftig das Opt-Out Verfahren, welches in der Datenschutzerklärung angeboten werden muss. Zusätzlich muss natürlich der Cookie und die Nutzung in der Datenschutzerklärung erklärt sein und Google Analytics sauber eingebunden.

Viel mehr Infos zum Thema Cookies, ePrivacyVO, DSGVO findet ihr wieder bei RA Schwenke: https://drschwenke.de/datenschutz-eprivacy-online-marketing-cookies/

Jetzt bleibt noch die Frage nach dem berühmten, nervenden Cookie-Hinweis. Muss der eigentlich da sein? Laut aktuellen BDSG eigentlich nicht. Viele Blogs zeigen den an, weil Google AdSense es vorschreibt, dass der angezeigt wird. Aber eine definitive Aussage zum Cookie Hinweis konnten wir bisher nirgendwo finden. Daher lassen wir den einfach erstmal auf der Seite, auch wenn wir kein AdSense nutzen.

[Edit am 14.04.2018] – Ein weiteres sehr gutes Tool, um zu prüfen was Euer Blog für Cookies und Tracker setzt findet ihr bei den Schweden von Webkoll: https://webbkoll.dataskydd.net/en/ Die Auswertung ist schon eher was für Fortgeschrittene. Aber um einen Überblick über die Cookies und Tracker zu setzen ist das Tool wirklich klasse. Und denkt daran, nicht nur die Startseite checken, auch mal eine übliche Beitragsseite da checken lassen.

Fazit Cookies: erledigt

Daten beim Hoster

Das ist einer der Punkte, die bei uns immer ein wenig unter dem Schirm geblieben ist. Natürlich speichert auch unser Hoster, also der Provider wo unsere Seite läuft, Daten der Webseitenbesucher, und zwar die IP-Adressen. Soweit wir wissen, ist ein Provider auch verpflichtet, diese Daten eine Zeit lang zu speichern. Für uns war das immer selbstverständlich, wurde selbstverständlich auch immer in der Datenschutzerklärung beschrieben. Auf die Idee, mit dem Hoster auch ein Abkommen zur Auftragsdatenverarbeitung zu schliessen, darauf sind wir nicht gekommen. 

Das wird jetzt in den nächsten Tagen passieren. Bei unserem Provider All-Inkl kann der Prozess über eine Meldung an den Support angestossen werden. 

[Edit am 21.03.2018] – Bei unserem Provider All-Inkl wird es in den nächsten Tagen/Wochen eine Lösung geben. Auszug aus der Mail: „…da für die ADV nach DSGVO keine Schriftform vorgeschrieben ist wir der Vertrag nach DSGVO in der Members Area vor dem 28.05.18 zum Download bereitgestellt. Wann dies der Fall sein wird werden wir unseren Kunden per Mail informieren.

[Edit am 08.05.2018] – Bei unserem Provider All-Inkl steht der AVV seit einigen Tagen im Memberbereich (nicht im KAS) zur Verfügung. Den haben wir inzwischen für alle unsere Seiten abgeschlossen.

[Edit am 16.05.2018] – All-Inkl bietet nun die Möglichkeit, dass man selber wählen kann, welche Daten von den Besuchern gespeichert werden. Wir haben uns dazu entschlossen, auf all unseren Seiten, die IPs in den Log-Files vollständig für 30 Tage zu speichern. Damit haben wir die Möglichkeit, Angriffe zu analysieren und ggf. rechtliche Schritte einzuleiten. Nach Ablauf der 30 Tage, werden die Daten automatisch gelöscht.

Auf die Statistiken des Providers verzichten wir dagegen vollständig.

Fazit Hoster: erledigt

Datenschutzerklärung

Natürlich muss für die DSGVO auch eine neue Datenschutzerklärung her. Sie ist sogar eines der Kernpunkte bei der Umsetzung der DSGVO.

Mittlerweile gibt es dafür die ersten Generatoren im Netz. Wir selber nutzen den Generator von der DGD Deutsche Gesellschaft für Datenschutz. Hier kann sich jeder, in einem Baukastensystem, kostenlos eine passende Datenschutzerklärung für seinen Blog erstellen lassen.

Wundert Euch bitte nicht, der Text dort wird sehr lang und ist nicht schön zu lesen. Aber er ist halbwegs rechtssicher und das zählt. Der normale Blogbesucher wird sich das wohl nie durchlesen wollen.

Wichtig ist in dem Zusammenhang, der Datenschutzhinweis muss auf eine eigene Seite, mit einem eigenen Menüpunkt – so wie das Impressum. 

Offen ist bei uns eine Frage, die wir bisher nicht eindeutig beantwortet bekommen haben. In dem Generator kann man Facebook, Twitter, Google+ usw als Social Medias auswählen. Ebenso steht das das datenschutzrechtlich saubere Shariff Tool dort in der Liste, welches wir auch einsetzen. Die Frage ist, müssen wir die Hinweise zu Facebook und Co. in der Datenschutzerklärung haben, wenn wir Shariff einsetzen. Wenn uns dazu mal einer eine saubere Quelle nennen kann, dann raus damit.

[Edit am 22.03.2018]Die Datenschutzerklärungen aus den Generatoren sollte man nur als Grundgerüst für die eigene Datenschutzerklärung ansehen. Solltet Ihr weitere Dienste nutzen oder Dienste anders nutzen, wie in der Erklärung beschrieben, dann sollte ihr die Erklärung entsprechend anpassen.

Ein Beispiel: Wir haben die Speicherung der IP-Adressen bei den Kommentaren deaktiviert und alle alten gespeicherten IP-Adressen gelöscht. In der Erklärung aus dem Generator steht aber die Speicherung der IP-Adressen noch im Text. Also haben wir diesen Part manuell verändert.

Da jede Webseite, jeder Blog andere Anforderungen an eine Datenschutzerklärung stellt, wird es kaum möglich sein, eine solche Erklärung als Baukasten komplett zur Verfügung gestellt zu bekommen. Wir selber betreiben 3 verschiedene Webseiten. Das bedeutet auch, drei verschiedene Datenschutzerklärungen. Und diese werden nun ständig gehegt und gepflegt. Ändern wir etwas an einem Bearbeitungsprozess mit persönlichen Daten, so wird auch die Datenschutzerklärung entsprechen bearbeitet.

Die Generatoren sind sicherlich eine Hilfe dabei. Aber um eine manuelle Bearbeitung kommt ihr nicht vorbei. Das hat aber den Vorteil, dass ihr dann den Inhalt Eurer Datenschutzerklärung auch wirklich kennt. Wir wollen garnicht wissen, wie viele sich diese Erklärungen erzeugen lassen, auf ihre Seite kopieren und sich die nie komplett durchlesen.

Bei der manuellen Überarbeitung kommt übrigens eine Vorgabe aus der DSGVO zur Hilfe. Die Erklärung soll in einfachen Worten und verständlich geschrieben werden. Es ist also nicht notwendig in feinstem Juristendeutsch einen Vorgang zu beschreiben. 

Ganz sicher ist man am Ende nur, wenn man seine eigene Datenschutzerklärung von einer Fachkraft prüfen lässt. Am besten mit Garantieübernahme, welche Falle eines Fehlers auch die Haftung übernimmt.

[Edit am 22.05.2018] – Wir haben die Datenschutzerklärung durch die von RA Schwenke und seinem Generator ausgetauscht. An einigen Stellen mussten wir noch manuell ein paar Dinge ergänzen/anpassen.

Fazit Datenschutzerklärung: erledigt bzw. in ständiger Pflege

Social Media Anbindungen

Direkte Social Media Anbindungen setzen wir auf dem Blog nicht ein. Wir haben keine Box wo man sehen kann, wie viele Follower wir bei Facebook haben, wir haben keine Instagram- oder Pinterest-Streams eingebunden, keinen Twitter-Live-Channel, der hier irgendwo aufblinkt. Kurz, unsere Leser sind vor sämtlichen ungefragten Datenübermittlungen zu Facebook und Co. sicher. Und das nicht nur seit der DSGVO. Wir sind immer erschrocken, wie viele Blogs sowas einsetzen, denn das war auch bisher schon nicht sauber und zumindest datenschutzrechtlich bedenklich. Aber, das ist nicht unser Problem.

Zum Teilen von Beiträgen bieten wie die Shariff-Buttons an. Diese übertragen erst Daten, wenn der Besucher bewusst auf den Button klickert.

Das macht übrigens nicht nur Shariff so, auch viele andere Social-Media-Plugins arbeiten auf diesem Weg. Schaut einfach mal die Tracker auf Eurer Seite mit dem Ghostery-Tool an. Wenn dort irgendwas von Twitter, Facebook und Co. auftaucht, dann solltet ihr auf die Suche gehen.

Wenn die Social-Media-Buttons lediglich mit Links zu den sharer-Seiten der Dienste hinterlegt sind (und keine Scripte verlinkte sind), dann ist es vermutlich auch sauber. 

Wenn die Like-Zahlen bei den Buttons auftauchen, würden wir wieder skeptisch sein. Denn dann telefoniert das Plugin ja irgendwo mit dem Anbieter um an die Zahlen zu kommen. Weiß man dann, welche Daten in die andere Richtung übertragen werden? Wir würden solche Plugins nicht einsetzen.

Fazit Social Media: erledigt durch Shariff

Kontaktformular

Haben wir gar nicht. Unsere Leser kontaktieren uns per Mail oder Kommentarfeld. Wir erwähnen es trotzdem, weil gerade Blogger reihenweise ihre Kontaktformulare abschalten und löschen. *seufz*

Kinders, wenn euer Blog verschlüsselt ist (SSL, erkennt ihr, wenn ihr ein https in der URL habt), dann ist doch erstmal alles gut. Schaut dann noch, dass die Mails vom Server zu Euch und Euer Mailprogramm ebenfalls über eine sichere, verschlüsselt Verbindung senden bzw. empfangen. Damit habt ihr die Datenübertragung auch mit Mails safe.

Sollte das nicht gewährleistet sein, dann schaut Euch nach einem Kontaktformular um, welches keine Mails mit den Daten der Leser übertragen. Es gibt auch Formulare, die speichern die eingegebenen Daten nur auf dem Webserver und benachrichtigen Euch, dass dort eine neue Nachricht liegt. Wenn ihr die lesen wollt, müsst ihr das über das Backend von WordPress machen. Ob das weit verbreitete Contact Form das auch kann, wissen wir aber nicht.

Auch eine Bestätigung der Datenschutzhinweise, als Checkbox, vor dem Absenden schadet beim Kontaktformular sicherlich nicht.

Es gibt jetzt keinen Grund panisch alles zu löschen, was nicht bei Drei auf dem Baum ist.

Fazit Kontaktformular: erledigt weil haben wir nicht

Gravatar

Jeder Blogger kennt die kleinen Bilder, die neben den Namen der User bei den Kommentare auftauchen. Sieht nett aus, ist aber aus Sicht des Datenschutzes einfach nur schlecht. Denn der Dienst Gravatar sendet munter Daten der Seitenbesucher und Kommentierer durch die Gegend. Schon alleine um abzugleichen, ob auf der Mailadresse des Kommentierenden ein Bildchen hinterlegt ist. Das ist übrigens auch heute schon bedenklich, was den Datenschutz angeht.

Natürlich sehen die Bildchen nett aus. Aber mal ehrlich…, geht ihr auf einen Blog um die Minifotos bei den Namen der Kommentierer anzuschauen? Nicht wirklich, oder?

Also raus damit. Bei uns sind die schon lange weg. Das lag aber daran, dass der Gravatar-Dienst auch den Seitenaufbau gebremst hat. Besonders bei Beiträgen mit sehr vielen Kommentaren, hat sich der Seitenaufbau spürbar verzögert, durch das Nachladen der vielen Dienst.

Fazit Gravatar: erledigt weil haben wir nicht

Werbetracker

[Edit am 21.03.2018] – Dann gibt es noch unzählige Tracking-Tools für Werbungszwecke. DoubleClick, Adsense, Facebook-Pixel. Die gennanten haben wir nicht im Einsatz. Wir nutzen das Amazon-Affiliate-Programm, arbeiten aber nur mit Verlinkungen und Artikelboxen. Beides binden wir über das Plugin Amazon Affiliate for WordPress ein. Die Textlinks sind unkritisch, die setzen keine Cookies und auch keine Tracker. Die Artikelboxen von Amazon setzen ebenfalls keine Cookies aber auf den Seiten läuft ein Tracker von Amazon.

Auch für diese Tools wird es sicherlich Lösungen geben. Aber spätestens mit der ePrivacyVO droht die Einführung des Opt-In-Verfahrens für diese Tracker/Cookies. So lange warten wir mal ab und wie sich die Rechtslage und Rechtsprechung dazu entwickelt.

Mehr Infos dazu: https://www.datenschutz-notizen.de/kuenftige-spielregeln-fuer-das-tracking-im-internet-und-in-retail-stores-1617287/

[Edit 22.05.2018] – Für unser Amazon Plugin gab es ein Update. Tracker von Amazon werden nicht gesetzt und auch die Produktbilder werden jetzt über einen Proxyserver geladen, so dass keine Daten unserer Leser mehr nach Amazon übertragen werden. Hier sind wir jetzt auch sauber.

Fazit Werbetracker: Erledigt

Google Fonts

Google Fonts ist auch ein Problem, man mag es kaum glauben. Immer wenn ein User die Seite in seinem Browser öffnet, wird bei Google Fonts nachgeschaut, ob es Änderungen an dem Font gegeben hat. Dabei werden wohl Daten des Lesers (IP-Adresse, Browser-Verlauf, u.Ä.) übertragen. Super, damit ein NoGo aus Sicht des Datenschutzes.

Mehr Infos dazu findet Ihr bei 7Media: https://www.7media.de/wp-coaching/dsgvo-neue-datenschutz-anforderungen/

Also mussten die Google Fonts aus dem Blog verschwinden. Einfachste Lösung: Einfach die Schriftarten selber hosten. Wir haben die gewünschten Schriftdateien über Google Webfonts Helper runter geladen. Dort bekommt man die Schriftarten direkt in allen 5 benötigten Dateiformaten. (woff, woff2, eot, ttf und svg).

Die Einbindung in den Blog war dann denkbar einfach. Unser Theme Avada bietet die Möglichkeit an, beliebig viele benutzerdefinierte Schriftarten anzulegen. Dazu werden die Schriftarten einfach in die Mediathek hochgeladen und über eine Maske eingebunden. Dazu musste wir WordPress nur überreden, die Dateitypen für den Upload zu akzeptieren. Aber auch das ging einfach über ein Plugin, welches wir temporär für den Upload installiert haben. Mit dem Plugin WP Extra File Types konnten wir die gewünschten Dateitypen freischalten.

Eine weitere sehr gute Anleitung zum Einbau der Google Fonts in Deinen Blog findest Ihr bei den WP-Ninjas: https://wp-ninjas.de/wordpress-google-fonts

Und noch eine gute Anleitung findet Ihr bei Elbnetz: https://elbnetz.com/google-fonts-auf-eigenem-webserver-in-wordpress-einbinden/

[Edit am 09.04.2018] – Es gibt Neuigkeiten. In einer Facebook-Gruppe hat ein versierter User Kontakt zu einem Google-Entwickler. Es scheint so zu sein, dass Google an einer Lösung des Problems arbeitet.

Fazit Fonts: erledigt

Emojis 

Wir sehen Euch jetzt verwundert vor dem Rechner sitzen. Was ist denn nun mit dem Emojis, den süßen kleinen Smileys? Nun, wenn die WordPress angezeigt werden, dann werden diese von einem externen Server geladen. Und somit wird zumindest die IP-Adresse des Lesers übertragen – also böse.

Wir haben die Emojis hier schon lange deaktiviert, weil wie die auf einem Blog irgendwie doof finden. Dazu einfach in den Einstellungen von WordPress, unter Menu Schreiben das Häkchen bei „Emoticons wie :-) und :-P in Grafiken umwandeln.“ weg machen.

[Edit am 10.04.2018] – Um auch die Emojis zu entfernen, die z.B. die User über ihre Smartphone-Tastaturen in Kommentare einfügen, bedarf es aber weiterer Maßnahmen. Das kann z.B. mit dem Plugin Autoptimize erfolgen.

Fazit Emojis: erledigt

Youtube Videos

[Edit am 26.03.2018] – Wir haben nur wenige Videos hier im Blog eingebettet, wir sind ja nicht so die Video-Fans. Die Einbettung haben wir nun  überall geändert und dafür den erweiterten Datenschutzmodus bei Youtube aktiviert. Dabei werden erst Daten der Leser übertragen, wenn das Abspielen des Videos gestartet wird. So richtig wohl fühlen wir uns dabei noch nicht. 

Wir überlegen noch, die Videos als Screenshot zu speichern, auf die ein Link zu Youtube gelegt wird. Wenn einer dann die Videos anschauen will, so muss das direkt bei Youtube geschehen. Aber damit hadern wir noch.

[Edit am 13.04.2018] – Nachdem Goolge jetzt die neue  EU User Consent Policy veröffentlicht hat, wo sie alle Verantwortung auf die Seitenbetreiber abwälzt, haben wir uns entschlossen, die Youtube-Videos vom Blog zu entfernen. Wir hatten ja nur drei Videos eingebunden. Ein uralter Artikel mit einem Video-Tutorial zur Bildbearbeitung im Urlaub. Der Artikel wurde eh kaum noch gelesen, der ist komplett weg. Unser kleiner Trailer ist von der „Über uns“ Seite komplett entfernt. Dann bleibt noch unser Road-Trip-Video. Das haben wir jetzt als Screenshot eingebunden. Wer den anklickt, kann sich das Video nun in einem neuen Tab bei Youtube ansehen und nicht mehr direkt hier im Blog.

Gute Tipps um Youtube datenschutzrechtlich sauber einzubinden findet ihr bei Finn auf dem Blog: https://www.blogmojo.de/youtube-videos-datenschutzkonform-einbetten/

Fazit Youtube: erledigt – weil alle Videos raus sind aus dem Blog.

Goolge Maps

[Edit am 09.05.2018] – Wir hatten in zwei, drei Artikeln Google Maps als iframe eingebunden. Hier gilt aber die gleiche Problematik wie bei Youtube. Daher haben wir die Karten von unserem Blog entfernt. Eine Alternative sehen wir im Moment nicht. Denn auch bei anderen potentiellen Anbietern (Open Maps) müssen Daten der Leser (IP-Adressen) an die Server der Anbieter übertragen werden. Ohne die IP-Adresse ist es technisch nicht möglich, dass die Karten im Browser des Lesers angezeigt werden.

Haben wir uns schon über die Einstufung der IP-Adresse als persönliches Datum ausgelassen? Ach, lassen wir das einfach. So ein moderner Service mit Karten für die Leser und Videos – völlig überbewertet.

Fazit Google Maps: erledigt – weil alle Karten aus dem Blog  entfernt wurden.

Verarbeitungsverzeichnis

Das Verarbeitungsverzeichnis soll eine Übersicht sein, wo ihr dokumentieren müsst, welche Daten ihr wie, wo, wie lange speichert, ob diese löschbar sind, wann sie gelöscht werden, wie die Übertragung geregelt ist usw. usf. 

Das Thema haben wir für den Blog erstmal zurück gestellt. Und zwar, weil einiges noch nicht klar ist. In der Verordnung steht, dass dieses Verfahrensverzeichnis nur von Firmen mit mehr als 250 Mitarbeiter geführt werden muss. Das trifft schonmal auf unseren Blog nicht zu, da kommen wir knapp nicht dran.

Leider steht der Hinweis mit den 250 Mitarbeitern dort nicht alleine. Die Grenze gilt nur dann, wenn die Verarbeitung nur gelegentlich erfolgt. Also die Verarbeitung von personenbezogenen Daten. 

Hm, und was genau bedeutet nun „gelegentlich erfolgt“? Google Analytics verarbeite bei uns pro Tag zwischen 1000 und 2500 Datensätze. Aber die Daten sind anonymisiert – sind das dann noch personenbezogene Daten? Wir würden mal auf Nein tippen – was soll sonst die Anonymisierung bringen?

Ok, gehen wir mal davon aus, die Google Analytics Daten heben die 250 Mitarbeiter-Grenze nicht auf. Was ist dann „gelegentlich erfolgt“? 2 Kommentare am Tag? 4 Kommentare in der Woche? 160 Kommentare im Jahr? Wo ist die Grenze zwischen gelegentlicher und regelmäßiger Verarbeitung von Daten? Auf diese Fragen haben wir bisher keine Antwort bekommen. Wir befürchten auch, bis zum ersten Urteil dazu, wird es auch keine definitive Aussage dazu geben. 

Dumm, da hat der Gesetzgeber endlich mal eine sinnvolle Grenze eingesetzt – da hebelt er die selber mit einer fürchterlich schwammigen Formulierung wieder aus. 

[Edit am 04.04.2018] – Ok, wir haben uns überzeugen lassen, das Verarbeiten von Kommentardaten, die Statistiken von Google Analytics, das ist alles eine regelmäßige Verarbeitung von Daten. Daher haben wir jetzt für den Blog dieses Verarbeitungsverzeichnis erstellt. War gar nicht so wild und hat, mit allen Recherchen was da eingetragen werden muss, rund 4 Stunden gedauert.

Für das Verarbeitungsverzeichnis gibt es prima Vorlagen, speziell für Vereine und kleine Unternehmen. Diese findet Ihr beim Bayrischen Landesamt für Datenschutzaufsicht: https://www.lda.bayern.de/de/kleine-unternehmen.html

Fazit Verarbeitungsverzeichnis: Erstellt und erledigt (muss aber weiter gepflegt und angepasst werden, wenn Änderungen vorgenommen werden)

Hinweis: Vertrag zur Auftragsverarbeitung online abschliessen

Ein kleiner Hinweis noch zum Schluss. Bis Mai müssen die Abkommen zur Auftragsdatenverarbeitung in schriftlicher Form abgeschlossen werden. Mit der Einführung der DSGVO im Mai soll das endlich auch online erlaubt sein und die heißen dann Auftragsverarbeitungs-Vertäge. Es wird damit deutlich komfortabler und schneller werden, wenn mit einem Dienstleister so ein Abkommen geschlossen werden muss.

Hinweis: Auf berechtigtes Interesse hinweisen:

Bzgl. des Einsatzes von Google Fonts, Google Maps, Youtube und anderer externer Dienste liest man in den letzten Tagen in vielen Datenschutzerklärungen den folgenden Absatz – so oder ähnlich formuliert:

„Die Nutzung von XXX erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.“

Interessant ist dabei, dass man diesen Passus sehr oft in Datenschutzerklärungen auf Seiten von Anwälten liest. Das scheint ein Indiz zu sein, dass das rechtmäßig sein könnte.

Was aber steht genau in diesem Artikel 6 Abs. 1? Schauen wir mal rein:

„Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
(…)
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Hm, ob diese Klausel auch die Aussage „Ich nutze xxx, wegen einer einheitlichen und ansprechenden Darstellung“ abdeckt? Wir denken, das wird noch Gerichte beschäftigen. Wenn das so in Ordnung wäre, könnte man damit ja jedes Datensammel-Tool auf dem Blog erklären und rechtfertigen.

RA Schwenke äußert sich dazu in einem Artikel bei t3n:

„Zu den berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO gehören auch Interessen an der Gewinnmaximierung, Kostensenkung, Optimierung der Dienste und Steigerung der Usability. Wenn die Interessen der Nutzer am Schutz derer Daten nicht überwiegen, ist in solchen Fällen die Weitergabe erlaubt.“

Er erklärt weiter, dass bei dem berechtigen Interesse eine Interessensabwägung nötig ist, welche die Art der Daten, den Zweck der Weitergabe der Daten und die Risiken der Betroffenen abgewogen werden sollten. Den ganzen Artikel findet Ihr hier: https://t3n.de/news/dsgvo-daten-rechtssicher-weitergeben-853271/

Hier sind wir wirklich gespannt, wie die Gerichte später entscheiden. Optimierung der Dienste und Steigerung der Usability sind ja schon Rechtfertigungen für einen Einsatz von z.B. Google Fonts. Das wird auf jeden Fall ein spannender Punkt bleiben.

Die neue Google EU User Consent Policy

[Edit am 13.04.2018] – Google hatte ja eine Lösung für seine Dienste im Zusammenhang mit der DSGVO versprochen. Nun ist die neue  EU User Consent Policy  erschienen. Und Google macht es sich damit verdammt einfach. 

If your agreement with Google incorporates this policy, or you otherwise use a Google product that incorporates this policy, you must ensure that certain disclosures are given to, and consents obtained from, end users in the European Economic Area. If you fail to comply with this policy, we may limit or suspend your use of the Google product and/or terminate your agreement.

Ganz einfach übersetzt, wälzt Google mit der Richtlinie alle Verantwortung auf die Seitenbetreiber ab. Für alle Dienste, welche von dieser Richtlinie betroffen sind, ist eine Einwilligung (also ein Opt-In) einzuholen und dies zu dokumentieren (!!elf!). Da sagen wir doch, Danke Google! Man könnte auch fragen, wollt ihr uns veräppeln? 

Google ändert also an seinen Diensten nichts, mal abgesehen von der einstellbaren Speicherdauer bei Google Analytics. Sie sammeln weiter die Daten unserer Leser ein, je nach Dienst mal mehr mal weniger. Welche das sind, das ist oft nicht so richtig zu erkennen. Und anstatt nun hinzugehen, diese Vorgänge transparent zu gestalten und die Dinge über einen Verarbeitungsvertrag zu regeln, schieben sie die Verantwortung auf uns ab. Kann man so machen, muss man aber nicht gut finden.

Und dann die Forderung nach einer dokumentierten Zustimmung. Wie soll das bitte funktionieren? Dafür müssen die Webseitenbetreiber ja noch mehr personenbezogene Daten sammeln um das zu ermöglichen. Sollen wir nun Benutzerkonten für jeden Besucher anlegen, damit wir nachweisen können, dass sie auch zugestimmt haben – also Blogbesuch nur noch nach Login?

Und für welche Dienste gilt denn nun diese Policy? Wir haben es in dem Wirrwarr an Datenschutzerklärungen und Diensten bei Google nicht heraus finden können. Ist z.B. Google Fonts davon betroffen? Wenn ja, was dann? Verweigert der Leser den Zugriff auf Google Fonts, was muss dann passieren. Der Zutritt zur Seite darf dem Leser nicht verwehrt werden, wenn er einen Dienst ablehnt. Müssen wir dann also eine Weiche in das Theme bauen, dass bei abgelehnter Zustimmung andere Schriftarten verwendet werden? Das ist doch hirnrissig, um es mal ganz vorsichtig zu formulieren.

Gut, bei den Google Fonts ist uns das recht egal, die werden eh schon hier auf dem Blog gehostet und nicht mehr von Google geladen. Wir warten jetzt  nur noch darauf, dass Google das Selberhosten der Fonts verbietet. Dann erkennen wir demnächst alle europäischen Blogs am Einheits-Schriftbild mit Arial.

Dazu kommt, dass die Google Policy damit noch strenger ist, als die kommende ePrivacyVO. Diese schliesst, zumindest im letzten bekannten Bearbeitungsstand, das Opt-In für Cookies aus, die statistischen Zwecken oder funktionell notwendig sind aus. Und Google verlangt eine dokumentierte Zustimmung.

Nun ja, für uns konkret heißt das, dass Youtube Videos jetzt vom Blog verschwinden, Schriften werden eh schon selber gehostet und Google Analytics werden wir spätestens ab 25. Mai durch Matomo (Piwik) ablösen. Google Maps haben wir eh keine eingebunden.

Wir haben noch ein wenig Hoffnung, dass schlaue Rechtsmenschen das Ganze anders interpretieren als wir Rechts-Laien. Oder Google selber merkt, dass das nicht so eine pralle Entscheidung ist.

Eine weitere Interpretation und Meinung findet ihr auf dem Datenschmutz-Blog: https://datenschmutz.net/googles-dsgvo-consent-policy/

Fazit Google EU User Consent Policy: So langsam macht es keinen Spaß mehr! Da glaubt man, die DSGVO so halbwegs im Griff zu haben, da kommt der nächste und rollt einem Steine in den Weg.

Abseits des Blogs – Cloudspeicher 

Ein anderes Thema am Rande. Bisher haben wir als Cloudspeicher die Dropbox genutzt. Dort landeten, neben vielen anderen unserer Daten, auch unsere Sicherungen von den Blogs und Foren, die wir betreiben.

Dropbox sitzt in den USA, macht sich aber fit für die DSGVO. Die haben dafür sogar eine eigene Seite, wo sie ihre Maßnahmen erklären: https://www.dropbox.com/de/security/GDPR

Nur, diese Sache hat einen Haken – das gilt nur für die Business-Accounts bei der Dropbox. Selbst als Dropbox Plus Kunde, haben wir – Stand heute – keine Chance einen Vertrags zur Auftragsverarbeitung abzuschliessen. Dieses geht nur, nach einem Upgrade auf das Business-Konto, welches von Dropbox zur Zeit sehr stark beworben wird. Nur, das kostet auch einiges mehr im Monat, das waren wir nicht bereit zu zahlen.

Bei der Suche nach einer Alternative sind wir am Ende beim Thema selber hosten gelandet. So betreiben wir jetzt eine Cloud mit dem System NextCloud auf unserem eigenen Webspace bei All-Inkl. Somit liegen unsere Cloud-Daten auf einem Server in Deutschland. Und einen Vertrag zur Auftragsdatenverarbeitung müssen wir mit unserem Hoster All-Inkl sowieso abschliessen.

Bei der Funktionalität steht die NextCloud der großen Dropbox in nichts nach. Zumindest unsere Anforderungen, die Synchronisation der Daten mit unseren Rechnern und den Zugriff auf die Daten über unsere mobilen Geräte, funktioniert genau so reibungslos und einfach wie bei der Dropbox.

Lediglich die Sicherung des Cloud-Speicherns in die lokale Sicherung bei uns, die funktioniert nicht, da unser SAN die Anbindung an die NextCloud noch nicht unterstützt. Das haben wir aber durch eine Synchronisation der lokalen Cloud-Ordner mit dem NAS gelöst. So ist auch hier eine automatisierte Sicherung in Betrieb. Mehr dazu findet Ihr in einem eigenen Beitrag über unsere Datensicherung.

Datenschutzerklärung und Impressum auf der Login-Seite

[Edit 13.04.2018] – Das hat jetzt nicht direkt was mit der DSGVO zu tun, eher mit dem Thema Abmahnsicherheit.

Denkt daran, auch auf Eurer Login-Seite und der Passwort-Vergessen-Seite das Impressum und die Datenschutzerklärung zu verlinken. Das sind „öffentlich“ erreichbare Seiten, die somit auch den gesetzlichen Anforderungen entsprechen müssen.

Um das zu erreichen kommt Ihr um ein editieren der Dateien nicht herum. Wir haben zumindest kein brauchbares Tool gefunden um das mit einem Plugin zu erreichen. Aber eigentlich ist es ganz einfach.

Noch ein Tipp. Zusätzlich könnt ihr auch die URL zur Login Seite verändern. Das geht sehr einfach mit dem Plugin WPS Hide Login.

Ich habe unsere alte Anleitung mal entfernt und durch den Edit vom 09.05.2018 ersetzt.

[Edit 09.05.2018] – Chris von Nesting Nomads hat in den Kommentaren noch einen guten Tipp gegeben. Um die Änderungen so einzufügen, dass sie nach einem Updates des Themes nicht verschwunden sind, könnt ihr einfach folgenden Code in die functions.php des Child-Themes eingeben

  • Zum benötigten Code: https://pastebin.com/3Ggt7YTu

Fotos mit Menschen auf dem Blog

[Edit 02.05.2018] – Und noch eine Baustelle. Wir haben ja auch Fotos mit Menschen auf dem Blog. Und das ist mit Inkrafttreten der DSGVO böse. Genau genommen ist es schon böse den Auslöser zu drücken, wenn Menschen auf dem Bild sind. Wir wollen das jetzt garnicht im Einzelnen hier aufdröseln, das haben andere Quellen mit mehr Qualifikation bereits getan. 

Was machen wir denn nun konkret? Wir lassen erstmal alle alten Bilder, wo Menschen drauf zu sehen sind, auf dem Blog. Grund dafür ist, dass die neue Regelung nicht für Bilder gilt, die vor dem 25.05.2018 fotografiert wurden. Dies steht zumindest im Artikel von Lead Digital – eine rechtssichere Quelle für diese Aussage würde uns noch interessieren.

Jetzt fotografieren wir ja selten Menschen. Bei unseren Reisefotos handelt es sich größtenteils um Landschaftsaufnahmen. Allerdings können einem an bestimmten Sehenswürdigkeiten oder bei Städtetrips auch mal Menschen vor die Kamera laufen. Da wir oft in Asien und USA unterwegs sind, wo es noch reicht ein Einverständnis per Kopfnicken und anlächeln zu vereinbaren, werden wir diese Fotos weiter machen.

Bei Fotos hier in Europa werden wir in Zukunft drauf achten, dass keine Menschen auf den Bildern drauf sind. Das wird an einigen Stellen schwierig, an anderen Stellen sind Fotos ohne Menschen auch wenig authentisch. Wenn wir eine belebte Einkaufsstrasse zeigen wollen, nimmt uns das ohne Menschen niemand ab.

Wir haben aber inzwischen aufgehört, uns über die Sinnhaftigkeit der neuen Verordnung und seiner Folgen noch Gedanken zu machen. Wir hoffen einfach, dass es bald Urteile oder Korrekturen von Seiten des Gesetzgebers gibt, die diesen ganzen Schwachsinn so ändert, dass wir wieder ein normales Leben im Netz führen können.

Fazit unserer DSGVO Bemühungen

Das liest sich jetzt wahnsinnig viel – wegen der Erklärungen. Aber am Ende war der Aufwand der Umsetzung wirklich nicht groß. Viel Zeit ging nur für Recherchen drauf. Und natürlich dem Versuch, als Laie, die ganzen Texte überhaupt zu verstehen.

Es mag durchaus sein, dass wir bei dem ein oder anderen Punkt hier komplett daneben lieben. Dann würden wir uns natürlich über fachlich kompetente Aufklärung freuen.

Ein Fazit von uns ist es aber auch, dass es garnicht sooo schlecht war, sich mal über die gesammelten Daten Gedanken zu machen. Mal zu schauen, wo werden die wie hin übertragen und bei welchen externen Dienstleistern landen die eigentlich. 

Am Ende sind wir ganz zufrieden und würden unseren Blog auch als normale Leser mit guten Gewissen betreten und auch ein Cookie hinnehmen. Denn mit diesen Daten werden Auswertungen gefahren, wo kein Rückschluss auf meine Person möglich ist, um die Inhalte des Blogs noch weiter zu optimieren.

Wir wünschen uns, dass viele betroffene BloggerInnen das Thema ein wenig nüchterner angehen. Teilweise ist in den Bloggergruppen bei Facebook eine Spur Hysterie zu erkennen. Wir meinen nicht, dass das notwendig ist. Ja, mit dem Thema muss man sich auseinander setzen, ja es kostet ein paar Stunden Zeit. Aber am Ende steht dann ein datenschutzrechtlich sauberer Blog.

Zumal wir kleinen Blogger doch gut lachen haben. Das ist alles Kindergarten. Denkt an die vielen Seiten im Netz, wo die Inhaber davon leben, deutlich mehr Daten ihrer Besucher zu analysieren. Da werden Tracking-Pixel von Marketing-Partnern eingesetzt, da geht es richtig um Geld. Dass in den Kreisen eine gewisse, leicht nervöse Stimmung herrscht – auch in Hinblick auf die später kommende ePrivacyVO – ist durchaus verständlich. Da stehen finanzielle Grundlagen auf dem Spiel.

Weitere gute Beiträge zur DSGVO

Auf folgenden Seiten findet ihr weitere gute Tipps zum Umgang mit der DSGVO:

Vielen Dank für Deinen Besuch!

Wir freuen uns riesig über Kommentare unter dem Beitrag oder über das hemmungslose Teilen auf den Social Medias.

Unsere Themenbereiche auf dem Blog:

Reisen • Fotografie • Tierfotografie • Flugzeugfotografie • Bloggen und Leben

Fotografie Schule

Fotografie Schule für Reisefotos

Wer schreibt hier?

Wir sind es, Melanie und Thomas. Zwei Reisesüchtige in den besten Jahren, wie man das neuerdings so sagt, also das mit den Jahren. Wenn wir mal nicht reisen, verdienen wir unser Geld zum Reisen und fotografieren uns an den Wochenenden durch die nähere Umgebung. Dabei lieben wir Zoos oder andere Sehenswürdigkeiten rund um unseren schönen, geliebten Ruhrpott.

Melanie und Thomas auf Reisen