Gestern hatte ich Euch bereits in Teil 1 über die Änderungen im Rahmen der am 25. Mai 2018 in Kraft tretenden DSGVO Datenschutzgesetze informiert. Nach Teil 1 folgt nun, wie versprochen, Teil 2.
[su_note note_color=”#edfaf8″ text_color=”#000000″ radius=”11″]
TEIL 2
7.) Das Speichern von IP Adressen in Kommentaren verhindern
8.) Alle Social Media Shares und Einbindungen nur noch verlinken
9.) Embed Social Media, wie Videos und Co., entfernen
10.) Textänderung bei kostenlosen E-Books, Gewinnspielen oder Downloads vornehmen
11.) Eine schriftliche Auftragsdatenverarbeitung mit Google Analytics schließen (Sofern in Benutzung)
Falls Du den ersten Beitrag verpasst hast kannst Du Teil 1 zu den Datenschutz Änderungen hier nochmals nachlesen.
[/su_note]
[su_button url=”https://www.beautylicious-living.de/dsgvo-datenschutzgesetze-leitfaden-fuer-blogger/” target=”blank” style=”3d” background=”#e5fdfb” color=”#005866″ size=”6″ wide=”yes” center=”yes” icon=”icon: file-text-o” icon_color=”#003366″ text_shadow=”2px 2px 4px #ffffff”]zu Teil 1 der Änderungen >>[/su_button]
Auch wenn ich kein Anwalt bin und Dir daher hier keine rechtsverbindliche Anleitung für die Umsetzung bieten kann, so möchte ich dennoch auch in Teil 2 versuchen etwas Licht in das neue DSGVO Datenschutzgesetz zu bringen und ein paar Aspekte der neuen Gesetze anzusprechen. Wie immer bei Rechtlichen Infos gilt: Der Artikel übernimmt keine Gewähr für Richtigkeit, Aktualität und Vollständigkeit dieser Ausführung und keinerlei Haftung für mögliche Rechtsfolgen.
zu 7) Verhindere das Speichern von IP Adressen in Kommentaren
Ebenfalls nicht mehr konform im Rahmen der DSGVO Datenschutzgesetze ist das Speichern von IP Adressen. Momentan gebe ich das noch in den Hinweisen bei den Kommentaren mit an. Langfristig besser ist es jedoch das Speichern der IP-Adressen gleich zu verhindern.
WordPress hat hierzu bereits im Rahmen eines Updates eine Anpassung angekündigt. So soll es dann möglich sein in den Einstellungen das Speichern der IP Adressen zu verhindern. Solange das nicht möglich ist kannst Du deine functions.php überarbeiten und dies manuell verhindern. Alle bestehenden IP-Adressen müssen manuell aus der Datenbank von Dir gelöscht werden.
Vergiss auch nicht Deine Spamplugins für Kommentare. Wenn Du hier derzeit AKISMET im Einsatz hast ersetze es schnellstmöglich. Hier kann ich Dir, wenn Du nicht jeden Kommentar von Hand moderieren willst, die ANTISPAM BEE wärmstens empfehlen.
Update 09.05.2018
Solltet Ihr noch nicht die aktuelle (neue) Version 2,8 haben dann bitte die Option „Öffentliche Spamdatenbank berücksichtigen” direkt ausschalten. Und einfach mal diesen Artikel hier lesen: “Euer Datenschutz kotzt mich an – Spam-Schutz in Zeiten der DSGVO“.
[su_divider top=”no” style=”dotted” divider_color=”#137a91″ size=”4″ margin=”10″]
zu 8) Social Media Shares, Logins + Plugins
In meinen Augen bedeuten die neuen DSGVO Datenschutzgesetze das Ende von eingebetteten SocialMedia Embeds, Plugins und Co. Es dürfen auch hier nach den neuen Vorgaben keinerlei Daten Deiner Besucher ohne dessen Zustimmung erhoben oder gar übertragen werden. Und wir alle wissen: Wenn Du z.B. bei Facebook eingeloggt bleibst und Du besuchst Webseiten auf denen eine Facebook Like Box integriert ist dann weiß das Facebook.
Konform sind damit nur noch Einbindungen von Social Media Widgets oder Plugins die erst dann Daten an Dritte übertragen, wenn der Nutzer dies vorher explizit erlaubt hat. Deine Social Media Widgets und Plugins müssen also entsprechend daraufhin geprüft, ob sie die Möglichkeit dazu bieten, und wenn nicht ausgetauscht werden.
Solltest Du in Deinem Blog die Möglichkeit anbieten sich für Kommentare oder Blogaboanmeldungen über Facebook, Google+, Twitter u.a, einzuloggen musst Du auch hier nachbessern.
Option 1: Du entfernst diese Möglichkeit und nutzt nur noch die normale Kommentaroption mit Checkbox und Hinweis (siehe Punkt 6/ Blogkommentare).
Option 2: Du wählst die kompliziertere technische Anpassung für diese Loginvarianten. Neben der Erwähnung in Deiner Datenschutzerklärung muss diese Realisierung so aufgebaut werden, dass der Nutzer erst eine Abfrage zur Einholung seiner Zustimmung angezeigt bekommt. Erst wenn diese bestätigt wurde darf das Socia Login geladen und damit die Verbindung dorthin aufgebaut werden. Auf keinen Fall darf vor dieser Zustimmung etwas vom SocialMedia Portal geladen werden!
[su_divider top=”no” style=”dotted” divider_color=”#137a91″ size=”4″ margin=”10″]
zu 9) Embed Videos, Instagram und Co.
In der Seitenleiste oder im Footer des Blogs wird sehr oft der eigene Instagram- oder Twitterfeed eingebunden. Ebenso beliebt sind passende Videos zum Thema die mittels Shortcode in den eigenen Blogartikel eingebettet werden. Auch das hat nun ein Ende.
Inhalte fremder Webseiten, welche Du in Deinen Blog , z.B. als iFrame, einbindest übertragen Daten Deiner Nutzer an den jeweiligen Anbieter. Wirklich sicher ist daher ab sofort nur noch ein Textlink.
Es ist noch offen, ob bei YouTube Videos nicht das Anhaken der Option “Erweiterten Datenschutzmodus aktivieren” ausreichend ist. Momentan würde ich noch bei dem Textlink bleiben und auf das Einbetten von Embeds verzichten bis das abschließend geklärt ist.
Nachtrag vom 02.04.2018
Für die YouTube Videos habe ich ein gutes Plugin empfohlen bekommen: „Embed videos and respect privacy“ . Damit können dann auch Youtube Videos wieder datenschutzkonform eingebunden werden. Die Videos, praktischerweise auch bereits bestehende Einbindungen, werden vor der Möglichkeit auf Play zu klicken von einem „Disclaimer“ überlagert.
Wenn Du nur einen Textlink nutzt musst Du in Deiner Datenschutzerklärung natürlich dennoch darauf hinweisen.
Ergänzung: Blogger-Widgets und Buttons
Viele Firmen mit denen Du als Blogger zusammenarbeitest bieten Dir die Möglichkeit ein Widget oder Grafikbutton auf Deinen Blog zu setzen. Natürlich niemals uneigennützig! Das sind selten reine Grafikdateien die Du nutzen darfst, sondern fast immer JavaScript Einbindungen. Die Daten werden getrackt, an die Drittfirma übermittelt und dort gespeichert.
Du musst nach den neuen DSGVO Datenschutzgesetzen solche JavaScipts Widets in Deinem Blog überprüfen und, wenn Du sie nicht löschen willst, dafür mit der Firma einen Verarbeitungsvertrag abschließen. Zusätzlich muss das Widget mit einer Erklärung, welche Daten übertragen werden, in die Datenschutzerklärung aufgenommen werden.
Es ist natürlich möglich das die einzelnen Firmen, die von Dir die Einbindung eines Widgets auf Deinem Blog verlangen z.B. um Zugriffe mitzuloggen, automatisch in den kommenden Wochen auf Dich zukommen. Solange das aber nicht geklärt ist entferne diese Script und Grafik Widgets besser.
[su_divider top=”no” style=”dotted” divider_color=”#137a91″ size=”4″ margin=”10″]
zu 10) Anpassungen für E-Books und Gratis-Downloads
Auch bei Gratis Angeboten wie Gewinnspiel. Downloads, Vorlagen für Kalender, oder E-Books gelten im Rahmen der neuen DSGVO Datenschutzgesetze andere Vorgaben. Dies legt das neue Kopplungsverbot der DSGVO Datenschutzgesetze nahe.
[su_service title=”In Art 7 Abs. 4 DSGVO heißt es:” icon=”icon: info” icon_color=”#0095ab” size=”18″]„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags […] von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“[/su_service]
Die Klausel besagt also Du darfst keine Daten mehr sammeln, welche nicht der Erfüllung des eigentlichen Zweckes dienen. Du kannst also ein kostenloses E-Book nicht mehr gegen die Herausabe einer Emailadresse eintauschen. Oder die Teilnahme an einem Gewinnspiel von einem Like für Deine Facebookseite abhängig machen.
Damit fallen viele etablierte Prozesse, die wir Blogger bei Gewinnspielen zum Beispiel bisher genutzt haben unter das DSGVO Kopplungsverbot.
Optionale Möglichkeiten
Derzeit wäre nur eines möglich: Die Formulierung der Texte für E-Books und Gewinnspiele auf dem Blog zu ändern. Zum Beispiel bei E-Books oder einer Teilnahme an Gewinnspielen dies immer an eine Newsletteranmeldung zu koppeln. Das ist dann eine zur Erfüllung des Vertrages notwendige Aktion. Hier kann der Nutzer sich natürlich jederzeit wieder abmelden und es braucht auch hier Double-Opt-In.
Selbstverständlich die Angabe in der Datenschutzerklärung nicht vergessen.
[su_divider top=”no” style=”dotted” divider_color=”#137a91″ size=”4″ margin=”10″]
zu 11) Die weitere Nutzung von Google Analytics
Wir alle wissen: Wer einen Blog betreibt will auch wissen wie seine Zugriffszahlen sind. Das ist nicht nur für den Bloginhaber wichtig, sondern auch für seine Kooperationspartner. Die meisten nutzen hierfür Google Analytics.
Auch hier sind für die neuen Anpassungen nötig. Sowohl für Google Analytics als Anbieter als auch in Deinem Blog selbst.
Schritt 1) Du benötigst eine Vertrag mit Google zur Auftragsdatenverarbeitung . Diese ist nicht wirklich neu und Google bietet Sie Dir HIER online zum Download an. Hast Du die Vereinbarung heruntergeladen drucke diese zweimal aus und sende Sie an die auf dem Dokument angegebene Googleadresse zurück. Solange Du diese Vereinbarung von Google noch nicht zurückerhalten hast speichere unter KONTOEINSTELLUNGEN > ZUSATZ > ZUSATZ ANZEIGEN eine elektronische Variante des Vertrages.
Jedes separate Konto über das Du Google Analytics nutzt braucht einen solchen Vertrag.
Schritt 2) Den Google Analytics Code in Deiner Webseite musst Du anonymisieren. Dies ist grundsätzlich sehr einfach über den eingebundenen Code zu machen, sofern Du diesen manuell eingebunden hast. Hintergrund ist hier einfach das viele Plugins für WordPress diese Option nicht anbieten. Nutzt Du also ein Plugin erwäge auf die manuelle Einbindung zu wechseln.
Solltest Du ein anderes Statistiksystem verwenden musst Du natürlich dafür einen Verarbeitungsvertrag abschließen.
Ich empfehle Dir auf WP Statistics umzusteigen. Bei diesem Statistiktool muss kein Vertrag zur Auftragsverarbeitung geschlossen werden denn dieses Plugin läuft lokal auf deinem Server/Account. Damit es wasserdicht ist muss jedoch auch hier die Anonymisierung der IP-Adressen aktiviert sein.
[su_divider top=”no” style=”dotted” divider_color=”#137a91″ size=”4″ margin=”10″]
[su_button url=”https://www.beautylicious-living.de/dsgvo-datenschutzgesetze-leitfaden-fuer-blogger/” target=”blank” style=”3d” background=”#e5fdfb” color=”#005866″ size=”6″ wide=”yes” center=”yes” icon=”icon: file-text-o” icon_color=”#003366″ text_shadow=”2px 2px 4px #ffffff”]zu Teil 1 der Änderungen >>[/su_button]
Back to Basics – Der neue Blogminimalismus
Ich denke das Dir nun sicherlich der Kopf raucht in Anbetracht dieser vielen und teils detailreichen Vorgaben. Kann ich voll verstehen. Bei den Recherchen zu diesem Artikel musste ich mehr als einmal den Kopf frei bekommen. Es ist defintiv eine Herausforderung. Wir werden uns zukünftig noch mehr informieren müssen und vor allem auf dem Laufenden bleiben müssen.
Wir müssen uns als Blogger in Zukunft sehr genau überlegen, was wir an Funktionen und Drittservices/Plugins wirklich noch anbieten können/wollen. Denn jede dieser Entscheidungen ist nun auch mit Pflichten beim Datenschutz verbunden.
Wo diese Entwicklung hingeht kann ich nicht sagen. Für WordPress und andere Systeme wird es sicher über kurz oder lang Updates geben, wo Teile der neuen DSGVO bereits umgesetzt sind. Zum Beispiel bei den IPs im Kommentarfeld. Aber alles wird sich darüber nicht automatisch regeln lassen. Vieles was wir lieben wird wegfallen. Ich denke da an die Möglichkeit Tweets oder Videos im Blogartikel einzubetten oder das wir mit einem Plugin gewünschte Funktionen ganz easy integrieren konnten. Jetzt müssen wir uns wieder auf eigene Lösungen und Kenntnisse besinnen. Videos und Tweets nur noch direkt einbinden und alles was wir im Blog als Feature anbieten wollen entweder selbst programmieren (damit keine Daten an Dritte gehen) – oder den Weg BACK to BASICS wählen. Ist das nun der Beginn eines neuen Blogminimalismus?
Eins weiß ich jedoch bereits jetzt ziemlich sicher:
“Je weniger personenbezogene Daten Du in Zukunft sammelst, umso weniger Aufwand hast Du.”
Ich für meinen Teil werde in der kommenden Woche noch einen Termin mit einem Rechtsanwalt und Datenschutzbeauftragten haben, um dort die letzten Fragezeichen zu klären.
Hast Du in Deinem Blog bereits mit der Umsetzung der neuen DSGVO Datenschutzgesetze begonnen?
