DSGVO-Leitfaden für Blogger
Uncategorized

DSGVO – Leifaden für Blogger

Ab 25.5. tritt die DSGVO, also die Datenschutzgrundverordnung, in Kraft. Die möglichen Strafen dafür sind enorm (sehr hohe Geldbeträge) und somit ist es ratsam sich bereits jetzt mit diesem Thema auseinanderzusetzen und erste Maßnahmen umzusetzen.

Disclaimer – ACHTUNG

Ich bin kein Jurist. Aus beruflichen Gründen und wegen meinem Blog habe ich mich allerdings intensiv mit dem Thema auseinandergesetzt. Es kommt hinzu, dass ich dieses Thema schlicht und einfach spannend finde. Ich übernehme keinerlei Haftung und erhebe keinen Anspruch auf Vollständigkeit oder Richtigkeit.

Ich habe den Beitrag nach bestem Wissen und Gewissen erstellt. Ich zeige euch hier fernab von Juristen-Jargon wie ich die DSGVO umgesetzt habe. Damit ihr alles möglichst einfach nach machen könnte, zeige ich euch die diversen WordPress-Plugins, die ich dafür verwendet habe.

Ich werde euch nicht die Paragraphen nennen warum ich dies oder jenes gemacht hab. Ich stelle euch allerdings am Ende des Beitrags einige Links zusammen, die mir bei der Recherche sehr geholfen haben.

DSGVO bringt viele zum Verzweifeln
Die DSGVO bringt viele zum Verzweifeln

Richtlinien und Gesetze sind nichts, dass man einmal umsetzt und dann ist gut. Es kann immer wieder Änderungen geben und deswegen ist es zu empfehlen sich in regelmäßigen Abständen über das Thema zu informieren. Zu dem gibt es in der DSGVO einen gewissen Spielraum. Hier müssen in Zukunft Fälle ausjudiziert werden um Klarheit zu schaffen.

Noch einmal sei gesagt, dass ich kein Jurist bin. Nachmachen auf eigene Gefahr!

Leitfaden

1. Cookies

Auch wenn es nicht hübsch aussieht und mich selbst beim Surfen nervt, ist es Pflicht auf die Verwendung von Cookies hinzuweißen. Aus aktueller Sicht ist es in Ordnung darauf hinzuweißen und gut ist. Also selbst wenn der User nicht auf „Okay“ klickt, kann er weitere durch die Seite stöbern, die ein paar Cookie-Krümmel bei ihm hinterlässt.

Pass unbedingt darauf auf, dass die Leiste mit dem Hinweis zu den Cookies nicht den Link zu deinem Impressum und der Datenschutzerklärung verdeckt! Ansonsten hat es die selben Auswirkungen als hättest du gar kein Impressum.

Hier auf lesefreude.at verwende ich dazu das Plugin WP Cookie Choice. In anderen Projekten nehme ich Cookie Notice. Beide Plugins sind super easy zu bieten.

2. Verarbeitungsverzeichnis

Datenschutz darf nicht zufällig passieren, sondern musst designt werden. Für das Verarbeitungsverzeichnis gibt es viele komplexe Vorlagen. Meiner Ansicht nach ist es völlig ausreichend, wenn du dir eine Liste erstellst an welcher Stelle du Daten sammelst, speicherst, warum du machst und welche Anbieter du nutzt bzw. wo du die Daten speicherst. Außerdem solltest du wissen, wie du die Daten löschst und wie du einem User auf Anfrage einen Auszug der über ihn gespeicherten Daten zur Verfügung stellst.

Ich versuch das an einem Beispiel zu erklären.

Hier auf meinem selbstgehosteten WordPress Blog sammele für den Zweck der Kommentarfunktion Name, Website, E-Mail, IP-Adresse und die Nachricht bzw. den Kommentar an sich. Gespeichert wird das direkt in meiner WordPress Datenbank. Möchte ein User eine Auskunft, kann ich eine Abfrage mit der IP-Adresse oder der E-Mail in meiner Datenbank machen und das ganze gegebenenfalls löschen.

Die Erstellung dieses Verarbeitungsverzeichnis hilft dabei herauszufinden, wo du überall Daten speicherst und sammlst. Dabei sollte in diesem Schritt immer hinterfragt werden ob das Sammeln an sich wirklich nicht notwendig ist, bevor man sich daran macht, die Daten richtig, also unter Einhaltung des DSGVO, zu sammeln.

Der DSGVO Wahnsinn - Wo fang ich an?
DSGVO!?! Wo fang ich nur an?

3. Datenschutzerklärung

Bereits angesprochen musst du eine Datenschutzerklärung haben. Diese muss ähnlich dem Impressum auf jeder Seite zur Verfügung stehen. Ich hab deshalb neben dem Impressum Link im Footer am Ende der Seite einfach auch noch einen Link mit „Datenschutz“.

Was da alles drinnen steht hängt davon ab was du alles verwendet (Facebook Pixel, Google Analytics, Amazon Partnerpogramm,…). Hierbei vertraue ich bereits seit mehreren Jahren und in vielen Projekten auf den Datenschutz-Muster Generator der Rechtsanwaltskanzlei Dr. Schwenke. Der Generator stellt dir einige einfach Fragen und am Ende bekommst du direkt deine Datenschutzerklärung.

4. Social Plugins

Beinahe jeder Blog verfügt über diese Buttons (zu Beginn oder am Ende eines Beitrags), um ein einfaches Teilen der Beiträge zu ermöglichen. Das Problem ist, dass viele dieser Buttons direkt eine Meldung an das Netzwerk z.b. Facebook oder Twitter abgeben, dass hier jemand ist bzw. sogar wer hier ist, wenn der User eingeloggt ist.

Mit dem Plugin „Shariff Wrapper“ bist du auf der sicheren Seite. Dieses Plugin funktioniert technisch etwas anders und bindet lediglich einen Textlink ein. Erst beim aktiven Klick auf den Button wird mit dem Netzwerk kommuniziert. Aber genug, ich will hier niemanden mit technischen Details langweilen.

Vorsichtig ist auch bei den diversen Plugins in der Sidebar geboten. Dort sieht man beispielsweise die Follower auf Facebook und möchte den User animieren, ebenfalls der Seite auf Facebook zu folgen. Nach meinem aktuellen Informationsstand, kann ich mir nicht vorstellen, dass die in Ordnung. Es kann passieren, dass so bekannt gemacht wird, welchen Seiten ich auf Facebook folge. Ich kennen für diese Anwendung kein Plugin, um das sicher umsetzten. Da ich so etwas selbst schon seit längerem nicht mehr verwende, habe ich mich allerdings auch nicht explizit erkundigt. Grundsätzlich sei gesagt, dass du jedes dieser Features kontrollieren musst. Werden Daten ohne Einwilligungen des Users dabei irgendwo hingeschickt, musst du entweder eine Alternative suchen oder es nicht mehr verwenden.

DSGVO-Leitaden - Hoffnung ist in Sicht
Mit dem DSGVO-Leitfaden ist Hoffnung in Sicht.

5. Kommentare

Bei Kommentare gibt es einiges zu beachten, mit ein paar Plugins bist du hier aber auch super easy auf der sicheren Seite.

Du musst deinen User ein Checkbox bieten, die sie aktivieren müssen, um so zu bestätigen, dass Sie die Datenschutzbestimmungen akzeptieren. Die Checkbox darf nicht standardmäßig aktiviert sein darf. Mit dem Plugin WP GDPR Compliance setzt du das ganz einfach um. Solltest du auf deiner Seite Formular von Contact Form 7 verwenden, kann WP GDPR Compliance auch damit umgehen.

Ich biete auch die Möglichkeit an Kommentare bzw. Beiträge zu abonnieren. Das heißt, dass ich dem User regelmäßig automatisiert E-Mails schicke. Somit muss hier das Double-Opt-In-Verfahren angewandt werden (der Uesr muss per Mail bestätigen, dass er das wirklich abonnieren will). Auch hierfür gibt es mit Subscribe to „Double-Opt-In“ Comments ein Plugin, dass diese Aufgabe für dich übernimmt.

Wie das Ganze aussieht und wie sich die beiden Plugins auswirken, kannst du dir unter jedem meiner Beiträge ansehen.

Im Hinblick auf die Kommentare möchte ich noch die Antispam-Plugins erwähnen. Achtet darauf nicht Akismet Anit-Spam zu verwenden, da sich Akismet nicht an unsere europäischen Gesetze hält. Antispam Bee macht das selbe nur unter Einhaltung der hier herrschenden Gesetze, Vorschriften und Richtlinien.

6. SSL – verschlüsselte Kommunikation

Sobald der User Daten auf deiner Seite eingeben kann und diese verschicken, wie es beispielsweise bei den Kommentaren der Fall ist, muss die Verbindung verschlüsselt sein. Viele Hoster machen dies bereits standardmäßig. Ansonsten musst du bei deinem Hoster nachfragen. Probiere einfach mal deine Seite mit https://www.lesefreude.at aufzurufen anstatt mit http://www.lesefreude.at . https:// ist die Variante mit der sicheren SSL-Verbindung. Am besten stellst du sicher, dass Aufrufe über http:// direkt auf https:// weitergeleitet werden und du nur mehr sichere Verbindungen ermöglichst.

7. Newsletter

Auf meinem Lesefreude Blog biete ich keinen Newsletter an. Beruflich habe ich mich intensiv mit dem Thema auseinander gesetzt. Da ich weiß, dass viele von euch einen Newsletter anbieten ein paar Worte hierzu.

Für die Registrierung zu deinem Newsletter musst du dem User ebenfalls wieder eine Double-Opt-In Möglichkeit bieten. Außerdem muss der User bei der Eingabe seiner Kontaktdaten ebenfalls wieder aktiv den Datenschutzbestimmungen zustimmen.

Beim Newsletter ist es außerdem interessant welches Newsletter-Tool du nutzt. Egal ob mailworx, mailchimp oder Co. es handelt es sich dabei um einen Anbieter, dem du den Auftrag zur Speicherung der Kontaktdaten gibst. Deswegen musst du mit deinem jeweiligen Anbieter einen Auftragsdatenverarbeitungsvertrag abschließen.

DSGVO macht mir keine Angst mehr
Die DSGVO macht mir keine Angst mehr.

8. Google Analytics

Update 11.2.2018: Absatz über Google Analytics hinzugefügt

Ich verwende Google Analytics für das Tracking. Dabei ist es wichtig (bereits jetzt schon), dass du die IP-Adresse anonymisierst. Das geht ganz einfach bei Yoast SEO Plugin zum Beispiel mit einem Häkchen in den Einstellungen oder einer kleinen Codezeile je nachdem wie du Google Analytics eingebunden hast.

Du musst in einer Datenschutzerklärung darauf hinweisen, dass du Google Analytics verwendest. Außerdem musst dem User hier auch sagen was er dagegen tun kann.

Da sich Google Analytics bereits an viele Richtlinien hält und nach dem Privacy Shield Abkommen zertifiziert ist, musst du dir hier nicht so viele Gedanken machen.

Um den Auftragsdatenverarbeitungsvertrag mit Google zu schließen gibt es für EU-Länder inklusive Schweiz eine einfache Möglichkeit. In deinen Google Analytics „Kontoeinstellungen“ klickst du auf “Zusatz anzeigen“ und akzeptierst den “Zusatz zur Datenverarbeitung“. Fertig.

Update 13.2.2018: Ausnahme für Deutschland
Achtung: Das von mir beschriebene Vorgehen um den Auftragsdatenverarbeitungsvertrag mit Google abzuschließen gilt nicht für Deutschland. Laut DSVGO (Datenschutzgrundverordnung) ist die elektronische Form für den Auftragsdatenverarbeitungsvertrag ausreichend. Laut BDSG (deutsches Bundesdatenschutzgesetz) ist die elektronische Form allerdings nicht ausreichend. Wenn du in Deutschland lebst, solltest du somit zusätzlich den Mustervertrag von Google zweimal ausdrucken, unterschreiben und zu Google nach Irland schicken. Du erhältst ein Exemplar des Vertrags unterschrieben zurück. Bis dieser Prozess abgeschlossen ist, empfehle ich dir trotzdem zumindest den elektronischen Vertrag sofort abzuschließen. Ich denke der elektronische Vertrag ist besser als gar keiner. Außerdem stellst du so sicher, dass du die datenschutzkonforme Variante von Google Analytics verwendest.

Update 17.2.2018: Plugin für Google Analytics und Opt-Out-Möglichkeit
Wenn du Google Analytics verwendest musst du eine Möglichkeit in der Datenschutzerklärung anbieten, damit der User das Tracking über Google Analytics unterbinden kann. Mir wurde dafür das Plugin Google Analytics Germanized empfohlen. Nach einem ausführlichen Test verwende ich nun dieses anstatt wie zu vor Google Analytics for WordPress by MonsterInsights. Beide Plugins anonymisieren die IP-Adresse mit einem Klick bei Google Analytics Germanized ist das sogar voreingestellt. Zusätzlich bietet Google Analytics Germanized einen kleinen Code mit dem du die Opt-Out-Möglichkeit einfach integrieren kann. Das neue Plugin hat zwar nicht so viele Einstellungsmöglichkeiten wie das von MonsterInsights, aber alles was ich benötige. Wenn du kein Plugin zur Einbindung von Google Analytics verwenden möchtest, habe ich in den Links eine Anleitung wie das geht für dich.

Du verarbeitest durch das anonymisieren der IP-Adresse keine personenbezogenen Daten. Somit fällt das in eine nicht so heikle Klasse. Achte beim Senden von Kommentaren darauf, dass die Eingaben nicht einfach an die URL gehängt werden und du auf diesem Weg personenbezogenen Daten an Google sendest.

Fazit

Wenn du die beschriebenen Punkte umsetzt, bist du nach meinem aktuellen Kenntnissstand auf der sicheren Seite. Ich bleibe natürlich dran an der Thematik und werde auch den Beitrag gegebenenfalls aktualisieren bzw. erweitern.

Ich hoffe ich konnte mit meinem kleinen Leitfaden etwas Licht ins Dunkle bringen und dir einen Umsetzungsplan mitgeben. Wenn du weitere Fragen zu der Thematik hast oder in einem Punkt anderer Meinung bist, hinterlasse mir gerne einen Kommentar!

 

Weiterführende Links

Zu guter Letzt habe ich hier noch wie versprochen eine Liste der Links, die mir bei der Recherche sehr geholfen haben.

Datenschmutz mit seiner DSGVO für Blogger

Der Blog von Dr. Thomas Schwenke (meine Quelle um bei aktuellen rechtlichen Thematiken am laufenden zu bleiben)

DSGVO-Serie auf t3n von Dr. Thomas Schwenke

IT-Recht Kanzlei

webdesign-podcast von Pascal. Er beschreibt wie du Google Analytics ohne Plugin rechtssicher einbindest oder einen Teil der Arbeit von seinem Plugin Google Analytics Germanized übernehmen lässt

Der Vollständigkeit halber: Dies ist kein bezahlter Beitrag. Weder die Plugins noch die weiterführenden Links sind in irgendeiner Art und Weise bezahlt oder vergütet. Ich schreibe diesen Beitrag auf die Bitte einige Blogger auf Twitter, die mich in einer Diskussion gebeten haben alles einmal zusammenzufassen.

 

83 Kommentare

  1. Toller Beitrag, und danke für die Erwähnung! Bin gerade dabei, mein Verarbeitungsverzeichnis anzulegen 🙂

    Eine Anmerkung noch zu Shariff: Ist zwar eine feine Sache, aber ich hab immer Bedenken bei Plugins, die seit 1 Jahr nicht mehr upgedatet wurden. Inzwischen laden etliche Alternativen aber zum Glück nichts mehr von den Originalservern.

          1. Ich nutze Jetpack auch nicht – aber da werden eine Menge Daten übertragen, schon allein wegen der Statistiken. Im Prinzip müssten die sich Privacy Shield zertifzieren lassen und du müsstest einen Vertrag mit WP abschließen. Ich wär vorsichtig mit Jetpack.

    1. Ich verstehe deine Bedenken bezüglich Shariff. Andererseits können Sie dann auch nichts böses eingebaut haben. Ich denke auch, dass mehr Social Media Plugins da nachziehen werden, damit ihnen nicht der europäische Raum weg fehlt. Egal welches Plugin man nun dafür benutzt, muss sich das halt auf jeden Fall genau ansehen. Ich verfüge glücklicherweise über einen technisch versierten Background. Wäre dem nicht so, stelle ich mir das extrem schwierig vor.

      1. Hmm, also ebenso Shariff trotz keiner aktuellen Updates? Bin mir nun echt unser bezüglich der Teile-Buttons, mit welchen ich auf der rechtlich-sicheren Seite bin … und gilt das gleiche für die Follow-Buttons?

        Und auf wie lang hast du deine Cookie-Gültigkeit laufen? Gibt es da Vorschriften ob ein Tag, anderer Zeitraum oder unbegrenzt?

  2. Zunächst mal Danke für diesen verständlichen Beitrag!!

    Hab direkt den Cookie-Hinweis vom unteren zum oberen rand verschoben!

    SSL – verschlüsselte Kommunikation | ausprobiert und wenn ich das mit unserer Blogadresse mache heißt es „Keine sichere Verbindung mit dieser Seite möglich“, was kann ich nun tun?

    Hmmm, habe jetzt „WP GDPR Compliance“ geholt, nur kommt bei uns das Kästchen zum Häkchen setzen nicht … (Kommentare via Jetpack) zu Hilf 😀 Wenn ich jetzt das Plagin auf „Aktiviert“ lasse kann niemand mehr Kommis hinterlassen, da immer die Meldung kommt, bitte das Kontrollkästchen zu akzeptieren, welches ja gar nicht angezeigt wird …

      1. Jaaaa, ich schon wieder 😀 (sorry!)

        Ich bin gerad an den Teile-Buttons und: bei „Per Mail“ öffnet sich bei uns ein riesen Fenster, nicht so klein we bei dir (teste gerade durch) und WhatsApp lässt sich nicht einfügen, obwohl ich es beim Shariff-Plugin hinzugeschrieben habe *grübel

    1. Bezüglich SSL. Da gibt es leider tausende Möglichkeit wie du es anstellen kannst und es kommt drauf an wie technisch versiert du bist. Wenn du selbst hostest, würde ich mal beim Hoster anfragen. Viele bieten das schon an und es nur ein Häkchen. Oftmals sogar mittlerweile ohne zusätzlich Kosten, weil es einfach Stand der Technik ist.
      Es kommt hinzu, dass Google in seinem Ranking Algorithmus SSL-Seiten lieber mag.

      Mit diesem Punkt bin ich allerdings selbst auch noch nicht ganz durch und er stellt sich bei der Umsetzung schwieriger heraus als ich dachte.

  3. Das sind ja nun alles Plugins für selbstgehostete Blogs. Aber wie soll man es machen, wenn man bei wordpress.com ist? Mit dem Cookie-Banner habe ich schon umgesetzt und habe ihn nun hoch in die Seitenleiste geschoben.
    Kommentare abonnieren habe ich rausgenommen um das Theater schon mal auszuschließen. Für die neue Datenschutzerklärung warte ich noch auf die Aktualisierung bei erecht24 um die dann auch einsetzen zu können.
    Verarbeitungsdatenhinweis geht bei wordpress.com auch über die Kommentardatenbank. Allerdings weiß ich nicht, wie ich es für alle Besucher machen kann. Denn die Daten erhebt ja wohl nur wordpress selbst. Seufz, das wird noch ein Akt mit der DSVGO.

          1. Ich vermute, dass das GDPR Plugin nicht korrekt mit Jetpack zusammenarbeitet.

            Schau mal in den Einstellungen des GDPR Plugin, also unter „Werkzeuge“ -> “ WP GDPR Compliance“. Dort gibt es einen Tab „Integrations“ siehst du hier irgendwas von Jetpack?
            Denn wenn du beispielsweise Contact Form 7 für Formular benutzt, erkennt das Plugin das und zeigt dir hier eine zusätzliche Einstellung. Wenn es hier neben „WordPress Commens“ nichts weitere gibt, denke ich kommt das Ding mit Jetpack einfach nicht klar.

        1. Ich denke man muss zwischen Abmelden des Kommentar-Abos und Antrag auf löschen klar unterscheiden. Nur weil ich kein Kommentar-Abo mehr möchte, heißt das nicht, dass ich auch will das meine Daten und Kommentare gelöscht werden.
          Dennoch sollte man wissen, wie man im Falle des Falles die gesamten Daten eines User inklusive seiner Kommentare entfernt.

    1. Wenn du bei einen Anbieter wie wordpress.com bist, kannst du nichts machen. Du kannst nur hoffen, dass die was dementsprechendes anbieten. Also erstmal ab besten abwarten ob wordpress.com noch was anbietet und wie heiß das ganze dann wirklich gegessen wird.

      Wenn wordpress.com die Kommentare für dich speichert, müsstest du mit denen einen Vertrag ähnlich einem Newsletter-Tool schließen.

      Ich weiß, dass alles klingt furchtbar kompliziert und viel Aufwand für nix. Ich gebe lediglich Auskunft wie es aus jetziger Sicht nach meiner Recherche am 25.5. sein müsste, damit du auf der absolut sicheren Seite bist. Persönliche vermute ich, dass es ähnlich wie mit der Impressumspflicht sein wird und das ganze dann gar nicht so schlimm/streng sein wird.

      1. Das PlugIn ist installiert und aktiv, als Seite habe ich es erstmal auf „Entwurf“, aber weder als die Seite eben aktiv war oder jetzt, bei meinen Kommentaren kommt kein zusätzliches Kästchen damit ein Häkchen gesetzt werden kann/muss …

        1. Hab jetzt nochmal getestet, das PlugIn ist als Seite im „Entwurf“ – wenn ich kommentieren will erscheint die Check-Box nicht (obwohl PlugIn mit unserer Version kompatibel ist) und sobald ich auf senden gehe kommt: „ERROR: please fill the required fields (GDPR checkbox).“

  4. SO! Mir geht’s wie auf deinen ersten zwei Fotos … Für die Teilen-Buttons nutze ich nun das gleiche wie du (bzw. nutzen wir).

    Überfragt bin ich bezüglich der Kommentare abschicken und der Check-Box – ebenso beim Newsletter(ALO EasyMail Newsletter). Zu Hilf!
    Das genannte PlugIn für Kommis läuft irgendwie nicht bei uns – Check-Box wird nach dem Absenden eingefordert aber vorher nicht angezeigt …. -.-
    Beim Kontaktformular hab ich es als Check-Box und bezgl. Kommi-Abonnieren habe ich was in der Bestätigungsmail ergänzt

    Würd sagen die ersten Schritte sind gemacht, aber die anderen sind: ??? ebenso wegen Speicherung der Mail-Daten & wo ich die einsehen und löschen kann ….

    Und eine Frage habe ich noch zu den Cookies: wie sieht es da mit der Länge bezgl. Gültigkeit aus?

    Sorry das ich dich hier heute so bombardiere … !!

    1. Wo speichert ALO EasyMail Newsletter die Daten? Auf den ersten Blick würde ich jetzt sagen, die speichern in deiner Datenbank und stellen dir lediglich ein Interface zur Verfügung?? Bin hier allerdings sehr unsicher. Am besten direkt in der DB mal schauen.
      –> Wenn das wirklich wie von mir vermutet direkt in der Datenbank liegt, weißt du auch schon wo du das einsehen und löschen kannst 😉

      Kommentare ich denke, dass das Plugin nicht richtig mit Jetpack zusammenarbeitet. Außerdem bin ich mir nicht sicher ob du wirklich das selbe Plugin für die Checkbox verwendest wie ich. Hier gibt es mittlerweile schon mehr, die das richtig machen.

      Zu der Gültigkeit der Cookies… Wenn es Cookies von Dritten z.B. für Google Analytics sind, kannst die Gültigkeit nicht beeinflussen. Wenn du meinst wie oft du diesen Cookie-Banner zeigen musst, das weiß ich nicht. Ich hab hierzu recherchierst und keine Aussage gefunden. Noch nicht mal, dass das sich dazu schon jemand Gedanken gemacht hat.

      1. Haha, ich muss mich outen – keine Ahnung! Wir können unsere Abo-Liste einsehen und auch ggf. löschen auf Anfrage – wo die Daten aber noch gespeichert werden … keine Ahnung.

        Ich habe deine oben genannten Checkbox versucht, sowie die im Kommi-Bereich genannte von Ritchie, funktioniert leider beides nicht … also, wenn ich abschicke wird um das Häkchen gebeten, zuvor jedoch gibt es keinen Hinweis (Kästchen, Satz).

        Google Analytics nutzen wir nicht, sondern Jetpack-Statistik. Ergo ich kann auf „unbegrenzt“ setzen, da es noch keine Gesetze/Erfahrungsberichte gibt?

  5. Hallo! Ein sehr toller Beitrag. Danke für die Infos & die Mühe!

    Ich finde ein sehr großes Problem sind die Blogs, die nicht selbstgehostet werden. Ich kann dadurch bei WP auf keine Plug-Ins zugreifen, was ja scheinbar an vielen Stellen hilfreich/nötig ist!

    Ich werde mich definitiv jetzt mal in die unbekannten Ecken von WP begeben, um herauszufinden wo denn hier Daten abgespeichert und gefunden werden können….

    Liebe Grüße,
    Pia

    1. Hallo Pia!

      Ja bei nicht selbstgehosteten Systemen bist du immer abhängig davon was die anbieten. Dafür genießet du natürlich auch einen gewissen Komfort und eine Vereinfachung von komplexen technischen Systemen.
      Es bleibt zu hoffen, dass diese Anbieter noch rechtzeitig Möglichkeiten anbieten. Außerdem bin ich gespannt wie das ganze letzten Endes wirklich ausgelegt und umgesetzt wird.

      Liebe Grüße
      Sabrina

    1. Hallo Silvia!
      Ja, ich darf das ganze Spielchen gerade am privaten Blog, auf der Vereinsseite und diversen Firmenseiten machen. Ich habe das Gefühl gar nicht mehr zum Arbeiten zu kommen, sondern mich nur mehr mit der DSGVO zu beschäftigen.
      Liebe Grüße
      Sabrina

  6. Danke Sabrina. Du hast mir sehr geholfen. Ich habe nur eine Frage und zwar, habe ich schon einige Male gelesen, dass man eine Vertrag mit Google abschließen muss. Hast du da vielleicht einen Link, so man das machen kann?

    Lg, Evw

    1. Hallo Eva!

      Einen Link kann ich dir nicht bieten. Was genau nutzt du den von Google? Wenn es um Google Analytics geht, musst die IP-Adresse anonymisieren. D.h. Google bekommt dann keine personenbezogenen Daten von dir und du brauchst keinen Vertrag abschließen. Du musst nur einen entsprechenden Hinweis in deine Datenschutzbestimmungen packen. Soweit habe ich das jetzt verstanden.
      Mit Google Adsens und Remarketing könnte das ganze schon etwas anders aussehen. Diesbezüglich habe ich mir noch keine Gedanken gemacht bzw. verwende ich das selbst nicht.

      Liebe Grüße
      Sabrina

          1. Hallo Sabrina,
            vielen Dank für deine Hilfe. 🙂

            Eine Frage ich noch und zwar habe ich deine erwähnten PlugIns aktiviert und jetzt ist mein Like Button für WordPress User weg. Hast du vielleicht eine Idee, welches dieser PlugIns das sein könnte? Bzw. ist es unter Umständen sowieso besser, wenn ich den Button nicht suche, da es vielleicht Probleme mit dieser neuen Verordnung geben könnte?

            Lg und vielen Dank, Eva

          2. Hallo Eva!

            Ich denke das macht das Shariff Plugin. Like Button für WordPress ist kritisch zu hinterfragen. Sobald die Bildchen von User angezeigt werden, denen etwas gefällt ist es höchst wahrscheinlich nicht DSGVO-konform.

            Liebe Grüße
            Sabrina

    2. Hallo Eva!
      Google hat hier eine Möglichkeit geschaffen, dass man den Vertrag einfach mit einem Klick direkt in den Kontoeinstellungen des Google Analytics Accounts abschließen kann. Für alle EU-Länder inklusive Schweiz ist dieses Vertrag nach Irland schicken usw. somit hinfällig.
      Einfach im Analytics unter Kontoeinstellungen bei den Zusätzen ganz unten nachsehen.
      Liebe Grüße
      Sabrina

  7. Herzlichen Dank – ich war ein bisschen überfordert und fühle mich jetzt doch schon ein bisschen gestärkter.
    Das Problem mit dem WP GDPR Compliance habe ich leider auch noch (Checkbox + Text wird nicht angezeigt, aber Fehlermeldung bei Kommentar) – aber ich hoffe, das ist ein Problem vom Plugin und wir bald behoben!

    Noch eine Frage: Bei dir steht hier ja drunter die Check Box und dahinter in rosa das * bei dem das Fragezeichen erscheint – aber sollte man hier einen Link oder etwas öffnen können?

    Liebe Grüße
    Manuela

    1. Hallo Manuela!

      Es freut mich, dass ich helfen konnte.
      Das Sternchen bei meiner Checkbox kennzeichnet einfach, dass es sich um ein Pflichtfeld handelt. Mit dem Fragezeichen hast du mich voll erwischt Ein seltsamer Effekt des Plugins, den ich noch nicht beheben konnte

      Liebe Grüße
      Sabrina

  8. Am Sonntag Morgen will man sich nicht unbedingt mit Datenschutz beschäftigen, aber was tut man nicht alles ^^ Vielen Dank für diesen leicht verständlichen Artikel. Ich war auch schon bei Datenschmutz, der das ganze Thema ebenso professionell beleuchtet und dachte kurz „okay, ich mach einfach alles dicht!“. Jetzt geht es wieder. Mein Blog wird über blogspot gehostet und da muss ich wohl warten, was Google machen wird. Einen Teil wie das Rauswerfen von Google Analytics habe ich schon angestoßen.

    LG
    Denise

  9. Liebe Sabrina,
    vielen Dank für diesen tollen Leitfaden. Ich weiß das es eine Menge Arbeit gewesen sein muss. Dank dir konnte ich nun aber schon mal einen Teil davon umsetzen und habe kein ganz schlechtes Gefühl mehr bei der Sache.
    Mach weiter so.
    Viele Grüße,
    Rena

  10. Hupps, ist mein erster Kommentar nicht angekommen? Hier ist der Link für den Vertragstext zur Auftragsdatenverarbeitung nach deutschem Datenschutzrecht (umständlich beschrieben) Dieser Vertrag ist für Google Analytics Nutzer notwendig:
    https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf
    Dieses PDF soll ausgefüllt bzw. unterschrieben an Google geschickt werden. Auf Seite 2 soll die dort geforderte Bestätigung unterschrieben werden und am Ende des vertrages (Anlage 1) muss das Exemplar ebenfalls unterschrieben werden. Das Ganze dann vollständig an die Adresse der Google Ireland Ltd. in Dublin schicken.
    Die Adresse steht ebenfalls auf dem 2. Blatt
    Contract Administration Department
    Google Ireland Ltd.
    Gordon House
    Barrow Street
    Dublin 4
    Ireland

    1. Hallo Tina!
      Danke fürs Teilen und danke für den Link.
      Google hat hier mittlerweile eine Möglichkeit geschaffen, damit man sich die Sache mit dem Vertrag nach Irland schicken erspart. Funktioniert für alle EU-Länder inklusive Schweiz. Du musst lediglich in den Kontoeinstellungen deines Google Analytics-Accounts ganz unten bei den Zusätzen der Datenverarbeitung zustimmen und schon hast den Vertrag im Handumdrehen geschlossen.
      Liebe Grüße
      Sabrina

    1. Hallo Tina!

      Ich hab zu diesem Thema nun nochmal ausführlich recherchiert (und werde das auch anschließend im Beitrag anpassen). Die von mir beschriebene Form, den Auftragsdatenverarbeitungsvertrag online abzuschließen gilt für alle EU-Länder inklusive Schweiz exklusive Deutschland.
      Laut DSGVO (Datenschutzgrundverordnung) darf der Auftragsdatenverarbeitungsvertrag in elektronischer Form abgeschlossen werden. Allerdings wird im BDSG (deutsches Bundesdatenschutzgesetz) festgelegt, dass die elektronische Form nicht ausreichend ist.

      Ich hoffe damit Klarheit in dieses kompliziert Thema gebracht zu haben. Auch wenn es natürlich ein bisschen ernüchtern ist, wenn man jetzt bedenkt, dass man sich nicht nur an die DSGVO halten muss, sondern auch noch andere Gesetze hier mitreden. Das macht die ganze Angelegenheit nicht unbedingt einfacher.

      Liebe Grüße
      Sabrina

  11. Hallo Sabrina,

    vielen Dank für deinen ausführlichen Artikel. Vielleicht magst du zum Thema Google Analytics einen Verweis auf meinen Artikel hier setzen: https://www.webdesign-podcast.de/2018/02/10/google-analytics-datenschutzkonform-und-rechtssicher-integrieren/

    Für Deutschland habe ich das Thema sehr intensiv inkl. Videoanleitung beschrieben. Weiterhin haben wir von unserer Agentur aus extra ein kostenloses WordPress-Plugin entwickelt, welches die technisch datenschutzkonforme Integration von Google Analytics abnimmt: https://wordpress.org/plugins/ga-germanized/

    Details dazu sind allerdings auch im Artikel zu finden.

    Schau gerne mal in Artikel und Plugin rein. Würde mich freuen, wenn mit Hilfe des Plugins mehr Leute Google Analytics datenschutzkonform einbinden und damit den unsäglichen Abmahnanwälten entgehen.

    Beste Grüße
    Pascal vom Webdesign-Podcast.de

    1. Hallo Pascal!

      Danke für die Tipps!
      Was ist der Unterschied deines Plugins zum recht beliebten „Google Analytics for WordPress by MonsterInsights“, das auch ich im Moment verwende? Die Anonymisierung der IP kann ich da mit einem Häkchen machen. Wieso gibt es dein Plugin nicht auf Deutsch, wenn es doch extra für Deutschland gemacht wurde 😉 ?
      Für den Vertrag (elektronisch oder schriftlich) hilft mir das Plugin ja nicht. Dieses Vorgehen hast du im empfohlen Artikel übersichtlich zusammengefasst.

      Liebe Grüße
      Sabrina

      Liebe Grüße
      Sabrina

      1. Hi Sabrina,

        die Basisfunktionen von den Einstellungen her verglichen mit der freien Version sind ähnlich. Der wichtigste Unterschied ist, dass unser Plugin zum einen entsprechend vorkonfiguriert ist. Anonymize IP ist also bereits eingeschaltet und auf rechtliche Probleme, falls man es abschaltet, wird hingewiesen.

        Zumindest in Deutschland ist es notwendig einen Opt-Out Link für Google Analytics zu erzeugen, dieser wird vom Plugin per Shortcode zur Verfügung gestellt und kann bei Bedarf auch mit anderen Plugins kombiniert werden. Du kannst z.B. GA by MonsterInsights weiter nutzen, aber den Opt-Out aus unserem Plugin implementieren.

        Weiterhin verwendet unser Plugin den aktuelleren Google Site Tag, MonsterInsights nich den alten Universal Code, soweit ich weiß.

        Auch die Zielgruppe ist eine komplett durchaus andere. Wir wollen mit dem Plugin den Leuten helfen, die ohne großartig zu überlegen nur irgendwie Google Analytics integrieren wollen.

        Diese finden in dem Plugin eine umfangreiche Anleitung inkl. dem Video aus dem Artikel.

        Das Plugin ist übrigens auf deutsch und englisch verfügbar. Das WordPress Plugin Repo ist jedoch für den ersten Upload nur auf englisch voreingestellt. Wenn du das Plugin installierst, ist es auch deutsch..

        Kurz gesagt: Das Plugin ist vor allem für die Nutzer, die sich aus der Thematik nicht viel machen, einfach aus Unwissenheit. Wir wollen damit nicht gegen bestehende Plugins anstinken, auch wenn der bisherige Basisumfang m.M.n. bereits gut ist. Es geht eher darum die Lücke an Infos zu schließen und einen einfachen Opt-Out zu ermöglichen.

        Wie gesagt, dass Plugin ist kompatibel zu anderen Google Analytics Plugins, wir wollen also nicht gegen andere Plugins arbeiten oder abwerten, sondern bei Bedarf auch einfach nur ergänzen.

        Beste Grüße
        Pascal

        1. Hallo Pascal!

          Das klingt spannend. Ich werde das Plugin testen und bei Gefallen in den Artikel aufnehmen.
          Den Hinweis auf die Opt-Out-Möglichkeit füge ich am Abend noch in den Artikel ein. Danke, dass du mich auf diese Thematik aufmerksam gemacht hast.

          Liebe Grüße
          Sabrina

  12. Ich fand deinen Beitrag gut als ersten Einblick in auftauchende Probleme und mögliche Lösungen. Deswegen habe ich den auch neulich verlinkt (der Pingback ist wohl im Spam gelandet). Allerdings warte ich jetzt wohl noch bis Anfang April mit Anpassungen, damit grad die großen Anbieter auch Chancen haben, Lösungen zu entwickeln. Und sich somit manches Plugin vielleicht doch weiterverwenden lässt.

    1. Hallo Elena!

      Danke. Denn Pingback finde ich leider nach durchsuchen des Spam-Ordners auch nicht 🙁

      Eine nachvollziehbare Entscheidung bis April zu warten. Wenn du dich jetzt bereits erkundigt hast, weißt du ja was ungefähr auf dich zukommt. Ich hoffe ebenfalls, dass viele große Anbieter und Bloggerplattformen nachziehen. Wäre schade, wenn als letzte Konsequenz Blogs deswegen aufgelassen werden würden.

      Liebe Grüße
      Sabrina

  13. Vielen Dank für diese hilfreiche Übersicht!
    Ich habe ja die Hoffnung, dass es bis zur Einführung des DSGVO auch noch einige entsprechende Änderungen in den bestehenden Plugins gibt oder dass vielleicht auch ein paar neue Plugins entwickelt werden, die daran spezieller angepasst sind. Aber dein Leitfaden ist ja auf jeden Fall schon eine sehr interessante Grundlage 🙂

    Liebe Grüße,
    Krissi
    #litnetzwerk

    1. Hallo Krissi!

      Ich habe gerade ein Plugin für Google Analytics von deutschen Herstellern unter Beachtung der deutschen Gesetze in den Artikel eingefügt. Ich denke da werden noch mehr kommen und noch mehr Plugins ihr vorgehen ändern. Immerhin betrifft die DSGVO die gesamte EU und somit eine Unmenge an Seiten.

      Liebe Grüße
      Sabrina

  14. Vielen lieben Dank für diese hilfreiche Zusammenstellung!
    Ich habe direkt mal meinen Datenschutz angepasst.
    Der Rest sollte passen. Durch WP kann ich was Plugins angeht eh nicht viel reißen.
    Und wie du schon irgendwo angemerkt hast – vielleicht ist das so wie mit dem Impressum. Das haben übrigens noch lange nicht alle Blogs.

    Liebe Grüße,
    Nicci

    1. Hallo Nicci!

      Ja, die schöne Impressumspflicht 😀 Immer wieder lustig daran zurückzudenken wie groß die Panik war. Ich bin erst vor kurzem auf eine Seite gestoßen von einem Unternehmen die kein Impressum hatten und mit mir Geschäfte machen wollte. Da habe ich dankend abgelehnt, wenn die nicht mal ein Impressum haben, kommt mir sowas mittlerweile suspekt vor.

      Liebe Grüße
      Sabrina

  15. Liebe Sabrina,

    danke dir, für diesen ausführliche und leicht erklärten Beitrag!
    Den werde ich mir jetzt gleich mal abspeichern und dann in der nächsten Zeit prüfen, was ich auf meinem Blog noch tun kann, um mit der neuen DSGVO konform zu gehen.

    Danke!
    Viele Grüße
    Ramona

  16. Huhu liebe Sabrina,

    vielen vielen Dank für diesen umfangreichen Beitrag. Ich hab direkt mal die Plugins ergänzt und werde dann demnächst auch meine Datenschutzerklärung noch mal genauer ansehen, dass die auch nach der neuen Version passt. Eine Frage, hast du zufällig, oder einer der anderne mitleser, erfahrung bezüglich des MailPoet Plugins? Darüber mache ich Newsletter bzw. kann man sich eintragen, um Sonntags immer über die neuen Beiträge informiert zu werden. Hier greifen aber wohl die Plugins nicht, kann zumindest bei beiden Formularen nicht das Kontrollkästchen finden. Falls hier jemand einen Tipp hat, wäre das grandios :).

    glg Franzi

    1. Hallo Franzi!

      Das MailPoet Plugin kenn ich leider nicht. Das WP GDPR Compliance hat seine Integration für einige häufig verwendete Plugins optimiert, du könntest anfragen ob sie hier noch mehr machen. Eventuell gibt es auch eine Anleitung wie man das selbst hinbekommt. Ich hoffe es kann dir jemand anderer von den Mitlesern weiterhelfen.

      Liebe Grüße
      Sabrina

  17. Hallo Sabrina,

    vielen Dank für diese detaillierte Erklärung. Die ist sehr hilfreich.
    Ich werde die mir sicher noch einmal durchlesen, wenn ich die ganzen Datenschutzsachen auf meinem Blog anpasse.
    Allerdings benutze ich die kostenlose Version von WordPress und kann keine Plug-Ins installieren. Mal gucken, wie ich das dann mache.

    Liebe Grüße
    Elisa

  18. Moin,

    ich bin über das #litnetzwerk auf Deinen schönen Blog gestoßen – und ich muss sagen, es gefällt mir richtig gut hier! Folge Dir nun auf Facebook und Instagram.

    Danke für die Zusammenfassung!

    Ich wünsche Dir noch einen wunderschönen Sonntag und morgen einen guten Wochenstart!

    Herzliche Grüße von meinem Lieblingsleseplatz,
    Verena

  19. Hallo Sabrina,
    toller Artikel und echt hilfreich in diesem Thema.
    Ich werde ihn mir sicher noch einige Male aufrufen, wenn ich in die Anpassung auf dem Blog gehe.
    Liebe Grüsse und schönen Sonntag noch
    Isabel

  20. Hallo liebe Sabrina,
    wow, da hast du dir ja echt einen haufen Arbeit gemacht.
    Vielen lieben Dank für diesen ausführlich und leicht verständlichen Beitrag.
    Ich habe direkt mal Akismet durch Antispam Bee ersetzt. Darauf wäre ich im Leben
    nicht selbst gekommen.
    Viele liebe Grüße
    Nadine

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.