DSGVO für Blog Glutenfrei Rezepte, für meinen Blog, darüber will ich hier schreiben. DSGVO steht für Datenschutzgrundverordnung und sie tritt am 25.05.2018 in Europa in Kraft. Ziel der DSGVO ist es, die Privatsphäre zu stärken und mehr Kontrolle über persönliche Daten zu geben. Der Schutz persönlicher Daten soll gewährleistet sein und deren Nutzung soll transparenter werden rxcare.net/. Der Nutzer soll selbst aktiv entscheiden können, welche Daten er herausgibt und welche nicht – und er soll wissen, was mit den Daten geschieht. Das klingt aus Nutzersicht echt super, aber ich will euch gerne hier berichten, was das für mich und meinen Blog Glutenfrei Rezepte bedeutet.
Achtung! Dieser Beitrag beschreibt wie ich nach bestem Wissen und Gewissen meinen Blog konform zur DSGVO eingerichtet habe. Das ist keine Rechtsberatung, ich bin keine Juristin oder Datenschützerin. Ich übernehme keine Gewähr für Richtigkeit, Aktualität und Vollständigkeit und keinerlei Haftung für mögliche Rechtsfolgen.
DSGVO für Blog Glutenfrei Rezepte
Also ran an das Thema DSGVO für Blog. Zuerst war ich etwas blauäugig und habe mir gedacht, dass ich nicht so viele Daten erfasse. Dann habe ich mich etwas intensiver mit dem Thema befasst und meinen Blog einmal komplett umgekrempelt. Es ist nämlich weit mehr als eine Kleinigkeit und es betrifft mich als kleine Foodbloggerin genauso wie jeden anderen, der eine Webseite betreibt. Die DSGVO gilt übrigens auch für Nicht-EU-Unternehmen, wenn sie Daten von EU-Bürgern verarbeiten. In Englisch heißt die Abkürzung übrigens GDPR, das ist ganz gut zu wissen, wenn du recherchierst.
Schutz vor Abmahnung
Ich kann dir nur den Tipp geben dich mit dem Thema auseinanderzusetzen, es sind nämlich sehr hohe Strafen anvisiert. Ich habe von 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes gelesen. Das sind offizielle Zahlen. Wer weiß was dann noch die Abmahnwütigen so alles planen. Dafür habe ich gleich einen guten Tipp bei meiner Recherche gefunden, nämlich die Datenschutzerklärung auf noindex für Google zu setzen. Damit wird sie nicht von Google indiziert, nicht in der Suche gefunden und so kann ich mich hoffentlich vor den gefürchteten Abmahnungswellen besser schützen.
Datenschutzerklärung
Natürlich brauche ich eine Datenschutzerklärung und diese ist auch gut sichtbar auf jeder Seite meines Blogs erreichbar. Die Datenschutzerklärung sollte beinhalten welche Daten erhoben und verarbeitet werden, ob und in welcher Form Daten an Dritte weitergegeben werden, ein Widerrufsrecht / Recht auf Lösung / Opt-Out für den Nutzer, ein Ansprechpartner für Fragen. Außerdem sollte die Dateschutzerklärung individuell für meinen Blog zutreffend sein. Ich habe für meine Datenschutzerklärung den Generator von RA Schwenke genutzt und die Erklärung komplett überarbeitet, so dass sie DSGVO konform ist. Dafür musste ich aber zuerst alle inhaltlichen Themen klären, damit ich dann eine finale Version inklusive aller verwendeten Tools etc. erstellen konnte. Das war gar nicht so einfach, denn in vielen Fällen habe ich Änderungen vorgenommen und nutze nun andere Tools und Dienste, viele habe ich abgeschaltet.
Cookies
Cookies sind Datenpakete, die zwischen Webbrowser und Webserver ausgetauscht werden. Kleine Textdateien, die auf dem Computer des Websitebesuchers gespeichert werden und Informationen zur Identifikation des Nutzers enthalten. Es gibt hier einen Unterschied zwischen funktionalen, also technisch notwendigen Cookies und nicht technisch notwendigen Cookies wie z.B. Tracking bzw. Targeting Cookies. Während für funktionale Cookies keine Zustimmung vorab notwendig ist, das sind z.B. Login Daten oder Session Cookies, trifft das für die nicht funktionalen zu. Allerdings reicht in Deutschland derzeit noch ein Opt-Out. Dieses Opt Out muss ich in der Datenschutzerklärung unter Hinweis auf die Browser-Einstellungen integrieren. Da stellte sich mir die Frage, ob ich weiterhin Google Anlaytics als Analyse Tool nutzen wollte. Ich habe mich nach längerer Recherche dazu entschlossen auf Piwik bzw. nun Matomo umzusteigen.
Drittanbieter
Drittanbieter sind alle Anbieter, die auf meiner Website Daten erheben oder verarbeiten. Mit diesen Anbietern muss ich Aufttragsdatenverarbeitungsverträge abgeschlossen haben. Außerdem muss ich sie in meiner Datenschutzerklärung nennen, inkl. Name und Anschrift der Firma, Hinweis auf die Art und Verwendung der Daten und auf den Auftragsdatenverarbeitungsvertrag. Also habe ich geschaut, welche Anbieter das in meinem Fall so betrifft. Das sind mein Webhoster und mein Newsletter Dienstleister.
Analysetools, warum ich jetzt Matomo und nicht mehr Google Analytics nutze
Matomo ist eine Open Source Anwendung für Webanalyse und eine echte Alternative zu Google Analytics. Schließlich will ich wissen wie viele Besucher und Seitenaufrufe mein Blog hat. Matomo, ehemals unter dem Namen Piwik bekannt, kann ich auf meinem eigenen Server hosten. Bei der Speicherung datenschutzrechtlich sensibler Daten werden so die Daten nicht automatisch mit Dritten geteilt. Mit ein paar Einstellungen kann ich Matomo DSGVO konform konfigurieren. Du kannst zwar Google Analytics nutzen, es sind jedoch einige Dinge dabei zu beachten und vor allem basiert dies auf der rechtlichen Basis des EU-US Privacy Shields. Wer sich mal etwas näher mit dem Thema EU-US Privacy Shield befasst hat, kann sich vielleicht vorstellen warum ich das nicht so überzeugend finde. Wenn du Google Analytics nutzen willst, findest du Hinweise zur DSGVO konformen Nutzung in den Links am Ende dieses Beitrages.
EU-US Privacy Shield, ehemals Safe-Harbor
Nachdem der Europäische Gerichtshof im Oktober 2015 die bis dahin angewendete Safe-Harbour-Entscheidung der Europäischen Kommission für ungültig erklärt hatte, hat man den EU-US Privacy Shield als informelle Absprache ausgehandelt. Ich will nicht zu tief in diese Materie einsteigen, aber nur folgendes: Nachdem sich Bürgerrechtsorganisationen und Datenschützer die veröffentlichten Unterlagen des Privacy Shields angeschaut hatten, haben sie es abgelehnt, weil es aus ihrer Sicht nicht rechtlich verbindlich ist. Ich kann das nachvollziehen, denn das ist noch nicht mal ein Vertrag, sondern nur eine Sammlung von Briefen. Massenüberwachungen durch die amerikanische Regierung sind damit weiterhin zulässig. Diese Überwachungen unterliegen damit auch keiner Verhältnismäßigkeitsprüfung und das verstößt gegen europäisches Recht. Außerdem ist es für Überwachte auch nicht möglich dagegen vorzugehen, weil man gar nicht erfährt, dass man überwacht wird. Insbesondere mit Start der Wirksamkeit der DSGVO wird das EU-US Privacy Shield vermutlich wieder stark diskutiert werden.
Matomo bzw. Piwik DSGVO konform nutzen
Der Vorteil von Matomo ist, dass keine Abfrage oder Speicherung und Weitergabe an eine dritte Partei stattfindet, wenn die Daten auf dem eigenen Server liegen. Durch diese Lösung muss ich auch nicht wie andere Unternehmen bei jedem Besuch der Website, dem Nutzer einen Cookie-Hinweis einblenden und die Erlaubnis einholen. Ich habe Matomo nach dieser Anleitung eingerichtet.
Mein Webhoster
Ich nutze 1&1 als Webhoster für meinen WordPress Blog. Über die Logfiles die ein Hoster erhebt werden die IP-Adressen gespeichert und damit personenbezogene Daten. Insofern habe ich mit 1&1 einen ADV geschlossen und dieses natürlich auch in meiner Datenschutzerklärung entsprechend beschrieben.
Mein Theme, das Design meines Blogs
Ich nutze die Genesis Plattform von StudioPress mit dem Theme Foodie Pro und bin zufrieden damit. Es wäre eine Katastrophe, wenn die beiden Daten sammeln würden und nicht mit der DSGVO konform wären. Mal so eben ein Wechsel des Designs ist nämlich nicht so einfach und mit viel Aufwand verbunden. Da ich bei meiner Recherche keine Information dazu finden konnte (auch nicht mit der englischen Abkürzung GDPR für DSGVO), ob die Genesis Plattform und das Foodie Pro Design DSGVO konform sind oder rechtzeitig werden wollen, habe ich die entsprechende Firma angeschrieben.
Genesis Platform und StudioPress Themes unterstützen die DSGVO
Ich bekam prompt Feedback von StudioPress: „StudioPress is GDPR compliant in many areas and we are currently auditing and updating our data processes to ensure full compliance. We will document our data handling procedures publicly before the May compliance deadline, and if necessary, we will update our privacy policy.“ Es wurde noch konkreter mit dieser Aussage: „Genesis and StudioPress themes do not track or store data from a site’s visitors. Genesis sends a small amount of basic data about the site itself during the Genesis update process (including PHP version, Genesis version, WordPress version, and the site URL), and we’re reviewing this to ensure any data sent complies with GDPR by the end of May.“ Zusätzlich bekam ich noch den Hinweis auf Google Fonts, denn ich in der Zwischenzeit selbst schon festgestellt, dass mein Theme Google Fonts nutzt. Entgegen der folgenden Aussage von StudioPress ist Google Fonts relevant für die DSGVO: „Several StudioPress themes use Google Fonts as a font hosting service. It’s not yet clear if this will be subject to GDPR, but we offer instructions to host fonts yourself in our theme documentation if you would prefer not to use Google Fonts. Here is a tutorial to host the fonts yourself: https://my.studiopress.com/documentation/tutorials/design/how-to-host-google-fonts-locally/
Google Fonts
Ich wäre im Traum nicht auf die Idee gekommen, dass die Schriftart meines Blogs Daten sammeln könnte. Wenn ein Nutzer eine Seite auf meinem Blog aufruft, wird nachgeschaut, ob sich etwas an der Schriftart geändert hat. Dabei werden die IP-Adresse, Browser-Verlauf, u.Ä. übertragen. Das ist nicht konform mit der DSGVO. Die einfachste Lösung ist, die Google Fonts lokal zu speichern. Gut, jetzt habe ich ja eine Anleitung von StudioPress bekommen und werde das umsetzen. Dadurch werden wahrscheinlich auch die Seiten meines Blogs schneller geladen, denn es ist keine Abfrage mehr notwendig.
Plugins, Widgets und Embeds
Caching-Plugins
Ein Cache ist ein Puffer-Speicher, der Daten zwischenspeichert, die bereits einmal geladen oder generiert wurden. Die Daten verbleiben im Cache, so dass sie bei späterem schneller aus diesem abgerufen werden können. Sie sind eigentlich kein Problem, sie dürfen nur kein CDN (Content Distribution Network) aktiviert haben. Bei Aktivierung von CDNs werden datenintensive Inhalte wie z.B. Videos in der Cloud gespiegelt und damit beschleunigt sich der Seitenaufbau. Dabei wird wie bei Embeds beim Abruf der Daten die IP-Adresse des Nutzers an den Cloud-Betreiber übermittelt. Wenn der Cloud-Betreiber DSGVO konform ist und einen Datenverarbeitungsvertrag anbietet ist es ok. „Kommentare nur in einer bestimmten Sprache zulassen“ darf auch nicht aktiviert sein, sonst IP-Adressen an einen weiteren Dienst übermittelt bzw. der Kommentartext zur Spracherkennung an Google Translate geschickt. Ich hatte bei meinem Cache Plugin kein CDN aktiviert und auch die Kommentare nicht in der Sprache eingeschränkt.
AntiSpamBee
AntiSpamBee ist ein effektives Antispam-Plugin mit Schutz gegen Trackback-Spam, das ich für meinen Blog im Einsatz habe. Es ist ein kostenloses Plugin und DSGVO konform. Die Funktion „öffentliche Spamdatenbank berücksichtigen“ muss deaktiviert bleiben, da Spam-Datenbanken den Abgleich der vollständigen IP vornehmen. Ok, das ist leicht, habe ich gemacht.
Rezept Plugin WP Ultimate Recipe Premium
Ich verwende ein Plugin für meine Rezepte und konnte bei meiner Recherche keine Informationen finden, ob dieses Plugin Daten erhebt. Deshalb habe ich die Firma Bootstrapped Ventures angeschrieben und auch prompt eine Antwort erhalten: „Yes, we’re aware. Our plugins will be GDPR compliant by May 25. You actually don’t need an agreement with us, because we don’t have access to anything. You’re just using our software on your website. Nothing is communicated back to us.“ Da ich mit diversen Browser Tools auch keinen Hinweis darauf gefunden habe, dass hier personenbezogene Daten erhoben werden, sehe ich dieses Thema im grünen Bereich.
Video Embed
Ich habe ein Video in meinem Blog per embed integriert. Das bedeutet, das dieses Video eingebettet in meiner Seite aufgerufen werden kann. Wenn du auf den Play Button klickst, kannst du es dir auf meinem Blog anschauen ohne die Seite zu verlassen. Das Problem ist, dass bei dieser Art von Integration personenbezogene Daten übertragen werden. Mit dem Plugin „Embed videos and respect privacy“ werden erst Daten übermittelt, wenn der Nutzer auf den Button klickt. Es wird quasi nur ein Bild angezeigt und kein Video eingebettet. Ich vermute mal, dass diese Art der Integration auch die Ladezeit meiner Seiten verbessert.
Yoast SEO
Ich nutze zur SEO Optimierung meines Blogs das Plugin Yoast SEO. So werden meine Beiträge besser von Google gefunden. Nach meinen Recherchen und laut Aussage des Supports speichert dieses Plugin keine personenbezogenen Daten und ist somit DSGVO konform.
Newsletter
Double Opt-In, erforderliche und optionale Daten
Beim Double-Opt-in-Verfahren meldet sich der Nutzer über das Anmeldeformular an und hinterlegt seine E-Mail-Adresse. Er erhält in der Folge eine Mail mit dem Bestätigungslink. Erst nach dem Klick hierauf beginnt das Newsletter-Abonnement. Wichtig ist auch, dass die Bestätigungsmail frei von Werbung sein muss. Genauso habe ich das bei meinem Newsletter auch angebunden. Zusätzlich erhebe ich auch keine personenbezogenen Daten beim Tracking der Öffnungen und Klicks etc. Da für den Versand von E-Mails nur die Emailadresse zwingend erforderlich ist, müssen alle anderen Daten wie z.B. Name optional abgefragt werden. Damit kann der Nutzer entscheiden, ob er seine Daten angibt oder nicht. Das musste ich also ändern.
Wenn die E-Mail-Daten bei einem Auftragsunternehmen gespeichert werden, muss ein Auftragsdatenvereinbarung (ADV) abgeschlossen werden. Ich arbeite bei meinem Newsletter mit einem Dienstleister zusammen, mit dem ich nun so einen ADV geschlossen habe. Glücklicherweise hat Cleverreach seinen Sitz in der EU und ist DSGVO konform. Das bedeutet auch, dass keine Daten außerhalb der EU landen und ich auch hier nicht auf das EU-US Privacy Shield setzen muss.
Freebies und das Kopplungsverbot
In der DSGVO ist z.B. enthalten, dass Daten nur zweckgebunden verarbeitet und genutzt werden dürfen. Das betrifft auch das sogenannte Kopplungsverbot. Es bedeutet z.B. dass eine freiwillige Zustimmung zur Versendung eines Newsletters an eine E-Mail-Adresse nicht gleichzeitig auch für den postalischen Weg gilt. Es gilt auch für sogenannte Freebies, d.h. ich darf nicht mehr mit einem kostenlosen PDF Infopaket werben, um neue Newsletterabonnenten zu gewinnen. Das ist auch der Grund weshalb ich es nun nicht mehr anbiete. Schade eigentlich.
SSL Verschlüsselung
Die DSGVO schreibt SSL Verschlüsselung zwar nicht explizit vor, aber ohne wird sich eine sichere Datenübertragung z.B. für Formular-Nachrichten oder Kommentare nicht realisieren lassen. Mit einer https Seite wird mein Blog wahrscheinlich auch in der Googlesuche besser gerankt. Außerdem wird im Browser dabei nicht dieses „unsichere Seite“ angezeigt, was irgendwie doch etwas abschreckend aussieht. Es gibt auch kostenlose Zertifikate bei Let’s Encrypt, deshalb habe ich es endlich in Angriff genommen und meinen Blog von http auf https umgestellt.
Kommentare
Eigentlich dachte ich, wenn jemand einen Kommentar schreiben möchte, dann sollte eigentlich klar sein, dass diese Daten öffentlich zugänglich sind. Aber auch hier muss ein Hinweis zur Datenspeicherung erfolgen. Ich habe also eine Checkbox integriert, die standardmäßig nicht aktiviert ist und habe das mit dem Plugin WP GDPR Compliance umgesetzt. WordPress speichert leider IP-Adressen, wenn ein Kommentar geschrieben wird. Aber das macht durchaus auch Sinn, denn falls jemand in Kommentaren widerrechtliche Inhalte hinterlässt, könnte ich dafür belangt werden und bin daher an der Identität des Verfassers interessiert.
Social Sharing Plugins
Fast jeder Blog verfügt über Social Sharing Buttons, die ein einfaches Teilen der Beiträge ermöglichen. Ich nutze nun das Plugin „Shariff Wrapper“, denn das ist DSGVO konform . Dieses Plugin bindet lediglich einen Textlink ein und erst beim aktiven Klick auf den Button wird mit dem Netzwerk kommuniziert. Das Problem ist nämlich, dass Social Plugins oder Widgets Nutzerdaten sammeln und zwar schon beim Aufruf der Seite und nicht erst, wenn der Nutzer darauf geklickt hat. Sie verfolgen dann das Nutzerverhalten auch über die sozialen Netzwerke hinaus. Das ist natürlich nicht konform mit der DSGVO. Zusätzlich habe ich über ein paar Grafiken Links zu meinen Social Media Kanälen gesetzt, das sollte über eine einfache Verlinkung kein Problem sein.
Gravatar
Ich hatte Gravatar integriert und es nun deaktiviert. Es ist nicht DSGVO konform. Es wird nämlich bei jedem Kommentar an den Gravatar-Anbieter Auttomatic eine Anfrage geschickt, ob es zu dieser E-Mail-Adresse ein Bild gibt. Das Problem ist, dass die Anfrage unabhängig davon ob ich mich bei dem Dienst registriert habe oder nicht, geschickt wird. Damit wird grundsätzlich die E-Mail-Adresse übertragen und das ist nicht in Ordnung. Deshalb habe ich unter Einstellungen –> Dikussionen am Ende der Seite „Avatare anzeigen“ deaktiviert.
Emojis
Es ist wirklich unglaublich, dass sogar die Smileys Daten abfragen. Um das zu unterbinden, habe ich in den Einstellungen von WordPress, unter dem Menupunkt Schreiben das Häkchen bei „Emoticons wie :-) und :-P in Grafiken umwandeln.“ deaktiviert. Um auch die Emojis zu entfernen, die z.B. die User über ihre Smartphone-Tastaturen in Kommentare einfügen, habe ich im Plugin Autooptimize entsprechende Einstellungen genutzt.
Marketing und Werbung
Ich finanziere meinen Blog z.B. mit Werbung und Affiliate Integrationen. Um meine Seite auf Abfragen zu untersuchen, habe ich das Browsertool Ghostery genutzt. Der Einsatz von Werbe-Trackern ist nämlich nicht ganz unumstritten. Ich muss hierfür nämlich dem Nutzer eine Opt-Out-Möglichkeit bereitstellen. Vor allem beim Retargeting (auch Remarketing genannt) wäre es sogar noch besser, wenn der Nutzer per Opt-In dem Tracking zustimmen muss. Das ist natürlich nicht besonders praktikabel. An dieser Stelle muss ich mit dem EU-US Privacy Shield arbeiten und die Details natürlich auch in meiner Datenschutzerklärung erläutern.
Adsense
Damit ich mit Adsense, d.h. mit meinen Werbebannern kein Problem bekomme, habe ich ein paar Einstellungen vorgenommen. Ich schließe Drittnetzwerke aus, die über Adsense angebunden sind. Zusätzlich habe ich mein Adsense Konto so konfiguriert, dass keine personalisierte, auf den Nutzer zugeschnittene Werbung angezeigt wird. Das ging früher ja auch, also back to the roots.
Affiliate
Ich bin Affiliate Partner von Amazon, d.h. ich habe Amazonlinks in meinem Blog integriert. Klickt ein Nutzer auf einen solchen Link, wird er zu Amazon geleitet. Kauft der Nutzer danach etwas bei Amazon, bekomme ich eine kleine Provision, weil ich den Kunden vermittelt habe. In den meisten Fällen habe ich nur Textlinks integriert. Links zu Mediendateien sind allerdings ein Problem, weil diese von Amazon geladen werden und dann Daten übermittelt werden. Deshalb habe ich diese Bilder nicht verlinkt. Aus diesem Grund solltest du dir Plugins für die Integration von Amazonprodukten genau anschauen, denn viele sind nicht DSGVO konform.
Recherche Quellen
Da es für den ein oder anderen interessant sein könnte, habe ich hier die Quellen für meine Recherche „DSGVO für Blog“ gesammelt. Nicht alle, aber die interessanten:
https://www.reisen-fotografie.de/dsgvo-als-blogger/
https://www.blogmojo.de/dsgvo-checkliste/
https://www.blogmojo.de/wordpress-plugins-dsgvo/
https://www.webtimiser.de/so-bereitest-du-wordpress-auf-die-dsgvo-vor/#WordPress-Plugins