DSGVO für Blogger – Checkliste und Linksammlung

von | 6. Apr 2018 | Blogging Basics | 42 Kommentare

„Hilfe!“

So oder so ähnlich haben viele E-Mails angefangen, die ich in den letzten zwei Wochen bekommen habe. Das Thema war immer das gleiche: DSGVO

DSGVO für Blogger: Checkliste & Linksammlung. So machst du deinen Blog oder dein Online Business fit für die DSGVOManche E-Mails gingen sogar so weit, dass ich gefragt wurde, ob es besser wäre, den eigenen Blog zu schließen.

Und das macht mich wütend.

Nein, nicht das Thema DSGVO. Ja, es ist mitunter ziemlich viel Aufwand, die Änderungen umzusetzen. Und ja, die ein oder andere Regelung finde ich auch etwas absurd (Einverständnis der Datenverarbeitung beim Kontaktformular zum Beispiel). Aber so ist es nun mal.

Das, was mich wirklich ärgert, ist die Panikmache von manchen Leuten – entweder weil sie Geld damit verdienen wollen oder weil sie übertreiben und das Schlimmste heraufbeschwören.

Habe ich Ahnung? Ich bin keine Expertin für Rechtssachen oder Datenschutz, bin aber selbst betroffen und habe deshalb selbst ausführlich recherchiert und Workshops von der Wirtschaftskammer besucht.

Eigentlich habe ich mich lange gewehrt, einen Artikel zu schreiben. Aber nachdem ich so viele Anfragen bekomme und es mittlerweile echt schwer ist, im Dschungel der DSGVO-Artikel durchzublicken, habe ich meine wichtigsten (und vertrauenswürdigsten) Quellen hier in diesem Artikel zusammengefasst.

Wichtiger Hinweis! Dieser Beitrag ist keine Rechtsberatung! Ich bin keine Juristin / Rechtsanwältin / Datenschutzexpertin! Von daher kann und darf ich keine anwaltlichen Tipps geben und übernehme für die nachfolgenden Tipps keinerlei Haftung. Für eine genaue Auskunft (oder Fragen zu deinem Blog oder Online Business im Speziellen), wende dich bitte an deinen Anwalt.

Was ist zu tun?

Das Thema DSGVO ist sehr umfangreich und einige Fragen sind und bleiben auch nach dem Stichtag des Inkrafttretens am 25.5. vermutlich noch ungeklärt. Nichts desto trotz geht es uns alle an. Ich habe die Todos der DSGVO für mich in 3 Hauptteile eingeteilt:

  1. Das Verfahrensverzeichnis
  2. Auftragsdatenverträge (ADV) abschließen
  3. Den Blog anpassen

Auf die Grundlagen gehe ich nicht im Detail ein, weil ich dazu zu wenig Fachwissen habe. Eine gut verständliche Erklärung zur DSGVO findest du aber zum Beispiel bei Rechtsanwalt Ronald Kandelhard.

Teil 1: Das Verfahrensverzeichnis

Einer der Grundpfeiler der DSGVO ist das Verfahrensverzeichnis. Bevor du dich mit den technischen Anpassungen deines Blogs beschäftigst,  ist es eine gute Idee, es zu erstellen. Dabei handelt es sich einfach um ein Dokument, in dem du aufschreibst, welche Daten überhaupt verarbeitet werden. Einige Beispiele:

  • Versenden von Newslettern
  • Analyse des Besucherverhaltens (z.B. mit Hilfe von Google Analytics)
  • Schreiben von Rechnungen

Was alles in ein Verfahrensverzeichnis gehört und wie du es erstellst, findest du bei Regina Stoiber (die übrigens einen ganzen Online-Kurs zum Thema DSGVO* erstellt hat). Dort findest du außerdem ein Muster, wie das Verfahrensverzeichnis aussehen kann. Ein anderes Muster findet ihr bei der Wirtschaftskammer Österreich und wenn du ein bisschen googelst auch noch ganz andere. Gut zu wissen ist in dem Zusammenhang, dass es keine verpflichtende Form gibt, sondern dass einfach die wichtigsten Infos drinnen stehen müssen.

* Affiliate Link

Teil 2: Auftragsdatenverträge (ADV) abschließen

Wenn du für deinen Blog Tools nutzt oder Vertragspartner hast, die persönliche Daten verarbeiten (also z.B. einen Namen oder eine E-Mail Adresse), dann musst du einen Auftragsdatenvertrag mit dem Betreiber abschließen. Das kann ein ganz schön langwieriger Prozess sein, weil mitunter ganz schön viele Tools zusammenkommen. Ich nutze mehr als 40 Online Marketing & Blogging Tools, die zwar nicht alle persönliche Daten verarbeiten, aber trotzdem kommt ziemlich viel Arbeit auf mich zu.

Beispiele für Tools/Vertragspartner, mit denen du ADV abschließen musst:

  • ​Newsletter-Dienst
  • dein Hoster
  • diverse Plugins (siehe dazu mehr unten)
  • Analyse-Dienste wie Google Analytics
  • Cloudspeicher (z.B. Dropbox)
  • Kalender- und ToDo Apps
  • Buchhalter oder Steuerberater

Viele Tools bieten Standardverfahren und Standardverträge an, die du relativ unkompliziert abschließen kannst. Eine übersichtliche Liste mit Hostern, Newsletter-Anbietern, … findest du hier bei Finn Hillebrandt.

Was tun, wenn ein Dienst nicht in dieser Liste steht?

Ganz einfach: schau in den Blog des Tools oder schreib ein E-Mail an den Support und frag nach, ob es ein Standard-Verfahren gibt. Gerade bei englischsprachigen Diensten ist es gut die englischen Begriffe für die DSGVO zu kennen:

Auftragsdatenvertrag (ADV) = Data Processing Agreement
DSGVO = GDPR

Bei vielen Tools ist ein Vertrag erst in Ausarbeitung und du musst erst mal abwarten. Aber mach dir zumindest eine Checkliste aller Tools, damit du weißt, wo dir noch was fehlt.

Teil 3: Deinen Blog bzw. dein Online Business anpassen

Langsam geht’s an die Technik. Einige Punkte die von der DSGVO gefordert werden sind sowieso schon Standard, andere kommen neu dazu. Eine sehr detaillierte Checkliste für Blogger, die laufend erweitert wird, gibt es beim Datenschmutz Blog. Hier liste ich noch einmal übersichtlich auf was zu tun ist (zumindest so weit ich das bisher überblicken konnte):

DSGVO & WordPress

  • SSL-Verschlüsselung (also dass die URL https:// beinhaltet) umsetzen
  • ​Den Datenschutzhinweis-Link so einbauen, dass er von jeder Seite aus erreichbar ist und nicht z.B. vom Cookie-Hinweis verdeckt wird
  • Die Datenschutzerklärung anpassen. In ihr müssen sich in Zukunft alle Tools, Anbieter und Partner finden, an die Daten übertragen werden. Einen Datenschutzgenerator für den deutschsprachigen Raum findest du bei Rechtsanwalt Dr. Schwenke.
  • Das Impressum ggf. anpassen. Ja, auch weiterhin musst du deinen vollständigen Namen & Adresse angeben. Es schadet also nicht, auch diese Seite vor dem 25. Mai zu überarbeiten. Hier findest du Impressums-Generatoren für Österreich und für Deutschland.
  • Cookie-Hinweis einbauen (z.B. mit Hilfe des Plugins Cookie Notice)
  • Google Analytics richtig einbauen. Wenn du der Anleitung meines Blog Analytics Bootcamp gefolgt bist, dann hast du schon alles erledigt. Zwei Dinge sind jedoch neu:
    • 1. Auch in Österreich brauchst du in Zukunft einen ADV
    • 2. Du kannst ihn in Zukunft aber direkt in Google Analytics unter Verwaltung und Kontoeinstellungen ganz unten beim Punkt „Zusatz zur Datenverarbeitung“ abschließen
  • Google Analytics & Facebook Pixel Opt-Out anbieten
  • Google Fonts lokal am eigenen Webspace installieren (eine Anleitung wie du das machst findest du bei Jonas von WPNinjas) [Update: Aufgrund Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) vermutlich nicht unbedingt notwendig, aber auf jeden Fall in den Datenschutzhinweisen beachten]
  • Bei Formularen muss der Nutzer explizit seine Einwilligung geben, dass seine Daten verarbeitet werden dürfen (z.B. mit dem Plugin WP GDPR Compliance) [Update: dürfte laut dieser Quelle doch nicht notwendig sein]
  • Bei Kommentaren die Zustimmung der Leser einholen, dass die angegebenen Daten gespeichert und verarbeitet werden dürfen (z.B. mit dem Plugin WP GDPR Compliance[Update: dürfte laut dieser Quelle doch nicht notwendig sein]
  • IP-Adressen bei Kommentaren entfernen?
    Dieser Punkt hat bei mir noch ein Fragezeichen. Einerseits, weil in den nächsten Wochen vielleicht sowieso eine Lösung von den WordPress-Entwicklern selbst kommt. Andererseits, weil es von strafrechtlichem Interesse sein kann, die IP-Adressen zumindest für einen gewissen Zeitraum zu behalten (wie Ritchie Pettauer hier erklärt). Solltest du doch schon ans Werk gehen wollen, hilft dir dieser Artikel von Jonas weiter. oder du nutzt
  • Das Anzeigen von Gravataren bei den WordPress Einstellungen deaktivieren
  • Das Anzeigen von Emojis bei den WordPress Einstellungen deaktivieren [Update] Es wäre ja zu schön gewesen, wenn das reicht… In diesem Artikel von FastWP erfährst wie du Emojis endgültig aus WordPress verbannst, du kannst aber auch das Plugin Autoptimize nutzen.

DSGVO & Plugins

  • ​Share-Buttons nutzen, die Daten erst übertragen, wenn sie genutzt werden (z.B. Shariff)
  • Prüfen, ob Plugins Daten übertragen und evt. wechseln. Ein häufig genutzter Dienst ist das Anti-Spam-Plugin Akismet, das z.B. durch Antispam-Bee getauscht werden kann.

Drei Listen mit Plugins, die du kritisch betrachten und evt. ersetzen solltest, findest du bei WP-Ninjas,  Webseiten-Schutzpaket und Blogmojo.

DSGVO & Blogspot

Nachdem ich mich auf WordPress spezialisiert habe, kann ich dir keine genaue Auskunft zu diesem Thema geben. Weil ich aber weiß, dass die Frage kommen wird, habe ich hier eine Artikelempfehlung. Bei Sunny’s side of life findest du Infos dazu.

DSGVO & Newsletter

Ein weiterer großer Punkt, nach dem ich oft gefragt werde: darf ich denn in Zukunft überhaupt noch Newsletter verschicken?

Ja, darfst du! Aber auch hier gilt wie oben schon angesprochen: weil deine Daten von einem Drittanbieter verarbeitet werden (also deinem Newsletter-Anbieter), musst du einen ADV abschließen. Eine Liste verschiedener Anbieter findest du hier. Eine Abkürzung wenn du Mailchimp verwendest: klick hier um den ADV mit Mailchimp abzuschließen.

Was ändert sich beim Newsletter?

Im Prinzip gilt auch hier, dass du deine Leser aufklären musst, dass ihre Daten verarbeitet werden und noch genauer: für welchen Zweck du sie verarbeitest. Eine tolle Anleitung inklusive Mustertexte findest du in diesem Artikel von Rechtsanwalt Dr. Schwenke.

Die größte Änderung liegt wohl im Kopplungsverbot und trifft alle, die mit Hilfe von Gratisangeboten neue Newsletter-Abonnenten gewonnen haben. Das heißt nämlich im Prinzip, dass ein Gratisangebot (also Freebie, Lead Magnet, …) in Zukunft nicht mehr an eine Newsletter-Anmeldung gebunden sein darf. Eine genauere Erklärung findest du bei Tierisch Selbstständig.

Im Falle meiner Freebies (wie z.B. dem Blog Fahrplan) habe ich es so gelöst dass die Leser sich aussuchen können ob sie gratis Bloggingtipps von mir bekommen wollen oder nicht.

 

Mein Fazit zur DSGVO für Blogger?

Also, was antworte ich jetzt jemandem, der mich fragt was für die DSGVO zu tun ist?

Ganz einfach: Starte so bald wie möglich mit deinem Verfahrensverzeichnis. Dann siehst du, welche Dienste du nutzt und ob du Tools eventuell kündigen oder ersetzen kannst. Ich habe zum Beispiel mit meinen Newsletter-Dienst gewechselt und ein paar Tools reduziert – und spare mit als netten Nebeneffekt ein paar Euro ;-)

Grundlegende Änderungen wie das Einbauen eines SSL-Zertifikats solltest du so bald wie möglich machen und dort wo es schon ADV gibt, kannst du sie schon abschließen.

Aber beim Rest gilt für mich momentan noch: abwarten. Bis zum Inkrafttreten der DSGVO dauert es noch länger als ein Monat und laufend sprießen neue Artikel, Meinungen und Lösungen aus dem Boden. Viele Dienstleister bereiten jetzt erst Verträge vor oder basteln an einer Lösung für ihre Plugins. Der ganze Rummel und die Panik, die momentan in der Onlinewelt herrschen bemerken nicht nur wir, sondern auch alle Unternehmen, mit denen wir zusammenarbeiten und bei denen wir anfragen, wie’s denn jetzt aussieht mit DSGVO-Kompatibilität.

Weitere interessante Artikel für dich

Zum Schluss möchte ich dir noch eine Liste mit weiteren interessanten Artikeln ans Herz legen, die du lesen kannst, wenn deine Neugierde noch nicht gestillt ist. Diese Liste könnte 10 A4-Seiten lang sein, so viele Artikel gibt es. Aber ich möchte mich auf ein paar wenige konzentrieren, die mir sehr geholfen haben und von denen ich denke, dass sie vertrauenswürdige Quellen sind:

Der DSGVO-Guide der von Rechtsanwalt Dr. Schwenke für T3N verfasst wurde.

Die DSGVO-Checkliste für Blogger und Unternehmer verfasst von Datenschützerin Regina Stoiber, in der du die oben aufgeführten Punkte noch einmal in anderer Form aufgelistet findest. Wenn du dich noch mehr in das Thema vertiefen möchtest kannst du dir auch ihren Onlinekurs* (Affiliate Link) mal ansehen.

Tina Gallinaro hat einen Beitrag geschrieben, in dem sie erklärt wie sie die DSGVO-Anforderungen umsetzt. Am Ende des Artikels findest du übrigens noch mehr Links zum Thema – falls du dann noch immer nicht genug hast ;-)

Und oben zwar schon erwähnt, aber so detailliert und umfangreich, dass ich sie gerne noch einmal aufliste: die Checkliste von Datenschmutz.

Ich frage jetzt gar nicht, ob du dich schon mit dem Thema DSGVO beschäftigt hast, weil ich weiß, dass du momentan nicht drum herum kommst. Aber erzählt doch mal: hast du schon mit der Umsetzung begonnen? Oder wartest du noch ab und sammelst Informationen zusammen so wie ich?