DSGVO 2018 – eine Checkliste für Blogger

In wenigen Tagen wird das BDSG durch die neue EU-DSGVO mit extrem empfindlichen Strafen abgelöst. Ich möchte dir zeigen, wie du deine Webseite ganz einfach (naja) DSGVO-fit machen kannst. 

Es ist ein undurchsichtiger Dschungel und viele neue Regelungen müssen umgesetzt werden. Ich möchte dir mit diesem Artikel zeigen, welche Änderungen, Plugins und Sachen ich eingesetzt habe, damit mir keine Abmahnung ins Haus flattert.

Grundlegend wird man mit der DSGVO den Datenschutz auf ein ganz neues Niveau heben, jedoch sind die Hürden gerade für kleinere Blogger deutlich höher, als gedachh. Doch die eigene Webseite Datenschutzkonform bzw nach DSGVO „safe“ machen ist einfacher, als eine Weltreise zuplanen.

Ich muss dazu sagen, dass diese Informationen sorgfältig recherchiert worden sind und durch diverse Seiten zusammen getragen worden sind. Jedoch kann ich nicht zu 100% garantieren, das diese aufgeschriebenen Tools immer und jederzeit zu 100% rechtlich sicher sind. Du handelst daher auf eigene Faust!

Folgenden Sachen musst du anpassen bzw optimieren: 


Kommentare und Formulare

Wer Kommentare in seinem Blog zulässt, sollte dringend seine Einstellung in WordPress überarbeiten. Am besten geht mit dem Plugin WP GDPR Compliance. Dieses Tool unterstützt nicht nur die WordPress Kommentarfunktion, sondern auch noch WooCommerce und das Contact Form 7.

Mit Hilfe von dem oben verlinkten Tool werden Formulare und Kommentarboxen mit einer Checkboxen versehen, dass der User beim absenden den Kommentars anklicken muss (es darf nicht standardmäßig angehakt sein)!, damit er erfährt, dass personenbezogenen Daten erhoben und gespeichert werden.

Für Gewinnspiele und entsprechende Teilnahmebedingungen ist eine separate Checkbox erforderlich. Oder du erlaubst anonyme Kommentare und musst selbst dafür haften, wenn sich darin jemand beleidigt fühlt oder Schindluder (Missbrauch) treibt.

Mein Tipp: WP GDPR Compliance. – bereits umgesetzt


Datenschutzbestimmungen und Impressum

Neben einem aktuellen Impressum, müssen auch die Datenschutzbestimmungen jederzeit mit einem Klick erreichbar sein. Verlinkte diese am besten im Footer oder im Header neben deinem Impressum. Sorge dafür, dass dieser Link nicht durch einen Cookie-Banner verdeckt wird. Am besten du benutzt hierfür den Datenschutz-Generator sowie den Impressum-Generator von E-Recht24 diese sind DSGVO konform und werden auf sehr vielen Webseiten im Internet eingesetzt

Mein Tipp: E-Recht oder Datenschutz-Generator nutzen – bereits umgesetzt


Cookie & Cookie-Banner

Diese neumodischen Cookie-Banner sind schon etwas länger Pflicht, daher sollte auch dein Blog mit einem solchen ausgestattet sein – und das nicht nur zum Spaß. Dies wird mit dem Einzug vom DSGVO noch etwas strenger. Du benötigst unbedingt einen Cookie-Banner, am einfachsten kannst du das mit dem Tool Cookie Notice by dFactory umsetzen, welches auch bei mir im Blog zum Einsatz kommt.

Hinzu kommt allerdings, dass wir schon bald ein Weitersurfen ohne Cookie ermöglichen müssen. Insbesondere Online-Shops müssen sich hier was einfallen lassen, da sich sonst der Warenkorb nicht umsetzen lässt. Wie das bislang umgesetzt werden kann, ist mir nicht bekannt.

Mein Tipp: Das oben verlinkte Tool nutzen, oder DSGVO-fähige –  bereits umgesetzt 


Hoster – Datenverarbeitungsvertrag

Im Grunde genommen benötigst du für jeden Part deiner Webseite einen Datenverarbeitungsvertrag. Auch bei deinem Hoster laufen erstmal alle Stränge zusammen, daher ist ein Vertrag unerlässlich.

Gute Hoster wie All-Inkl und Raidboxes können diese direkt über das Backend zur Verfügung stellen. Manchmal sogar per Klick zum akzeptieren.
Bei All-Inkl findest du diesen in der Members Area – Stammdaten – Datenverarbeitungsvertrag.

Mein Tipp: Frage bei deinem Hoster nach, die wissen bescheid  – bereits umgesetzt


Gravatare

In vielen Kommentare wurden Nutzerbilder direkt beim kommentieren eingefügt, ohne das du dich anmelden musstest. Das funktioniert dadurch, dass im Hintergrund die Mail mit einer Datenbank von Gravatar.com abgeglichen wird. Dies ist nicht DSGVO konform.

Schalte daher in WordPress die Funktion des Gravatar unter Einstellung – Diskussion – Avatare am besten ganz ab.

Mein Tipp: Schalte diese Funktion ab, benötigt keiner mehr.  bereits umgesetzt


VG Wort

In diesem Blog setzt ich unteranderem auf das Zählpixel von VG Wort, welches mir eine entsprechende Vergütung für Texte bringt. Da VG Wort jedoch keine persönlichen und personenbezogenen Daten speichert, ist dies alles kein Problem. Du kannst dies weiterhin bedenkenlos einsetzen.

Mein Tipp: Hinweis in die Datenschuzerklärung, sammelt keine persönliche Daten.  bereits umgesetzt


SSL-Verschlüsselung – https in der URL

Von SSL-Verschlüsselung bei der URL hast du sicherlich schon viel gelesen. Früher müsste dies nur von Banken oder größeren Firmen umgesetzt werden. Mittlerweile ist es zu einem Ranking-Faktor bei Google geworden. Nun ist es die DSGVO so halber vorgeschrieben.

Sofern sein Hoster ein kostenloses SSL-Zertifikat unterstützt, solltest du es nutzen. Falls nicht, schau dir Lets Encrypt an, diese stellen schnell und einfach kostenlose SSL Zertifikate aus.

Mein Tipp: Nutze die Möglichkeiten bei deinem Hoster, sollte kostenlos sein. Ansonsten Hoster-Wechsel in Betracht ziehen  bereits umgesetzt


Google Analytics – IP Adresse anonymisieren

Sofern du Google Analytics einsetzt, musst du es nach dem 25. Mai „datenschutzkonform“ machen, damit du es weiterhin einsetzen kannst. Hierfür ist eine Anonymisierung der IP Adressen erforderlich.

Wenn du Google Analytics by MonsterInsights einsetzt, musst du nur den Haken bei „IP Adressen anonymisieren“ anklicken. Ansonsten musst du folgenden Code in deinen eingebauten Google Analytics integrieren, da es ansonsten zu Abmahnungen kommen wird:

ga(‚create‘, gaProperty, ‚auto‘);
ga(’set‘, ‚anonymizeIp‘, true);
ga(’send‘, ‚pageview’);

Etwas Ausführlicher habe ich es dir in diesem Artikel erklärt:

Google Analytics – Opt Out & Vertrag zur Auftragsdatenverarbeitung

Wenn du bereits den Tipp mit der Datenschutzerklärung von oben umgesetzt hast, dann ist dieser Tipp auch ganz schnell umgesetzt. Mit dem Plugin Google Analytics Germanized fügst du nicht nur Google Analytics datenschutzkonform ein, sondern auch gleich die Option zum sogenannten „Opt out“ ein. Damit kann der Nutzer die Möglichkeit, der Erfassung seiner Daten zu unterbinden.

In Deutschland ist die Einbindung des Vertrages mit Google zur Auftragsdatenverarbeitung ganz einfach und wirklich kein Hexenwerk. Hierfür gehst du einfach in die Google Analytics „Kontoeinstellungen“, dann auf „Zusatz anzeigen“ und akzeptierst den „Zusatz zur Datenverarbeitung“.

Wenn du auf Nummer Sicher gehen möchtest, dann kannst du auch den Vertrag zur Auftragsdatenverarbeitung (PDF Download und Vorlage hier) zweimal ausdrucken und Google Irland senden.

Mein Tipp:  Google Analytics Opt-Out (DSGVO / GDPR) nutzen, nach Stichtag per Klick Vertrag zusagen  – bereits umgesetzt


Google Fonts – Schriftarten

Bei den Google Schriftarten oder Google Fonts scheiden sich derzeit noch die Geister. Für manche Experten geht dies in Ordnung. Wenn du Google Fonts DSGVO datenschutzkonform einsetzen möchtest, solltest du deine Schriftarten jedoch von deinem Server ausliefern lassen.

Hierfür empfehle ich dir die Anleitung von WP-Ninjas oder schau nach, ob dein WordPress Theme von sich selbst unterstützt und anbietet. Hat Google hierzu schon eine Lösung?

Mein Tipp: Google Fonts wird in Kürze DSGVO-konform, derzeit Schriftarten lokal speichern und umsetzen –  bereits umgesetzt


Social Share Buttons

Hier muss man ein bisschen differenzieren. Einfache Links wie ein normaler Link zur Facebook, Twitter oder Google Plus Seite sind hiervon nicht betroffen. Hier geht es nämlich um direkte Facebook-Implementationen wie zb eine Facebook Linkbox – wie z.B ein Widget zum direkten Liken einer Seite – oder einer Möglichkeit zum Hinterlassen von Facebook-Kommentaren auf der Webseite. Diese sind ab dem 25.Mai 2018 grundsätzlich untersagt.

Nutze zum derzeitigen Zeitpunkt keinesfalls die Standard-Optionen von Facebook zur Integration, diese sind nämlich nicht datenschutzkonform. Weil die Daten werden direkt zum Klick auf der Seite an Facebook geschickt, egal ob der Nutzer angemeldet ist oder nicht. Dies ist ganz sicher nicht Datenschutzkonform.

Am besten du nutzt absofort das Plugin Shariff Wrapper, dies unterbindet die direkte Kommunikation zwischen Facebook und musst vom Nutzer entsprechend angeklickt werden, bevor die Verbindung zu Facebook hergestellt wird.

Facebook Embedded Content / Twitter Embedded Content

Derzeit gibt es noch keine gültige und einfache Möglichkeit diese beiden Möglichkeiten datenschutzkonform nach DGSVO einzubinden. Ich bin jedoch bereits an verschiedenen Möglichkeiten dran. Sobald sich hier was tut, werde ich dich darüber umgehend informieren.

Mein Tipp: Shariff nutzen – In Arbeit


Newsletter – zb. Mailchimp oder CleverReach

Wenn du auf deinem Blog einen Newsletter anbietest, solltest du dringend folgende Punkte beachten: Der Nutzer muss per Double Opt-In, also in einer zweiten Mail bestätigen, dass er sich tatsächlich für den Newsletter anmelden möchte. Dies ist bei Mailchimp und vielen weiteren Newsletter-Tools mittlerweile üblich.

Der Nutzer muss in dieser darauf hingewiesen werden, was du mit dem Newsletter vorhast. Eine „pauschale Einwilligung in Werbung, oder Interessante Informationen“ ist damit nicht gestattet. Ebenfalls ist ein Kopplungsverbot nicht zulässt. Du darfst z.B kein Gratis eBook versenden, wenn er sich für deinen Newsletter anmeldet. Die Eingabe der Mail muss ohne Gegenleistung passieren.

Wenn du auf Mailchimp oder CleverReach setzt, musst du zwingend einen Auftragsdatenverarbeitungsvertrag mit dem jeweiligen Dienstleister abschließen, da der Dienstleister personenbezogenen Daten wie Name und E-Mail verarbeitet.

Checke bitte noch, ob sich dein Newsletter-Anbieter in den EU befindet oder auf der Liste des Privacy Shields steht. Diese müssen sich nämlich an die EU Datenschutzrichtlinien halten und damit bist du im Bezug auf den Datenschutz auf der sicheren Seite.

Am besten du schließt noch einen Auftragsdatenverarbeitungsvertrag mit dem Dienstleister ab. Mailchimp bietet diesen direkt zum Download an.

Newsletter – Kopplungsverbot

Die DSGVO verbietet mittlerweile ein Verfahren, dass zur oftmals zur Gewinnung von Newsletter-Abonnenten eingesetzt wird: Freebies gegen den Erhalt des Newsletters.

Vorrangig ist hier im Regelfall der Erhalt des Freebie. Du darfst in Kürze nur noch einen Newsletter versenden, wenn dieser sich für den Newsletter anmelden möchte und daran kein Freebie oder Gratis-Ebook gekoppelt ist. Du benötigst hierbei 2 Bestätigungen des Kunden, eines für das Freebie und eines für den Newsletter. Sicherlich wird es viele Nutzer geben, die sich nur wegen des Freebies angemeldet haben..

Du kannst unter Umständen beides miteinander koppeln, jedoch musst du sehr transparent die E-Mail formulieren und dem Kunden direkt eine Opt-Out Möglichkeit in der Mail geben. Sehr gewagt, wenn du mich fragst

Mein Tipp: Newsletter, wenn nicht unbedingt benötigt löschen – Mein Newsletter wurde bereits eingestampft, Daten gelöscht!


Verzeichnis aller Tätigkeiten der Datenverarbeitung

Das DSGVO gibt vor, dass du bei der Verarbeitung personenbezogener Daten auf einer Übersichtsseite glasklar und transparent beschreibst, welche Daten du erhebt und was du mit diesen Daten vorhast. Derzeit gibt es noch keine einheitliche Lösung oder ein Online-Tool, was darin alles vorkommen soll. Folgende Fragen solltest du jedoch beantworten können:

– An welcher Stelle sammle ich persönliche Daten wie zb. Name und Mail-Adresse?
– Wo werden diese gespeichert und kann ich diese löschen?
– Warum werden diese Daten erhoben?
– Nutze ich einen Anbieter zur Speicherung und Verarbeitung der Daten ?

Mein Tipp:  abwarten! – Hier arbeite ich gerade an einer Lösung


Weiterer Lesestoff:

Puuuh, das war jetzt ganz schön viel aber extrem wichtig. Welche Punkte hast du auf deiner Webseite noch umgesetzt? Bei welchen Punkten weichst du von meiner Liste ab?
Schreibe uns doch deine Erfahrungen in die Kommentare. 

2 Gedanken zu „DSGVO 2018 – eine Checkliste für Blogger

  1. Pingback: Noch mehr Infos zur DSGVO bei den Coolen Blogbeiträgen

  2. Pingback: WordPress 4.9.6 – Das DSGVO Update ist da! | Dennis Vitt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.