Die Datenschutz-Grundverordnung kommt. Was bedeutet das für Blogger? Nun, eine ganze Menge. Denn obwohl vieles erst ab einer gewissen Unternehmensgröße gelten soll, werden wohl Datenschutz-Hüter bei Bloggern genau hinschauen. In meinem Abwasch der Woche beschäftige ich mich mit Maßnahmen, die für Blogger relevant sind. Inwieweit die jeder umsetzen muss, muss jeder selbst bewerten. Ich bin nun mal kein Advokat. Aber ein paar Dinge muss man sich schon mal näher anschauen.
Wie sehe ich die Datenschutz-Grundverordnung (DSGVO)?
Wie ich es oben in dem verlinkten Artikel schon schildere: Da ist viel Kauderwelsch. Im Prinzip habe ich dort alle möglichen Gesichtspunkte schon genannt. Das Problem ist halt, dass man als Webseiten-Betreiber alles auf den Prüfstand stellen muss, was mit den Nutzerdaten im Zusammenhang steht. Dazu zählen:
- Cookies
- Social Media
- Kommentare
- Newsletter
- Statistik
Als Webseiten-Betreiber muss man genau schauen, wo man tätig werden muss. Das äußert sich auch an weiteren Sachen, die man beachten muss. Damit meine ich:
- Die Datenschutz-Erklärung
- Das Verarbeitungsverzeichnis
Das ist viel Arbeit, das gebe ich gern zu. Aber es ist eben notwendig. Ich möchte auch nicht ohne weiteres meine Daten irgendwo abladen, ohne zu wissen, was mit ihnen passiert. Dass das nun irgendwie geregelt ist, ist erstmal ganz gut. Wie es geregelt ist, ist eine andere Frage. Am Ende musste etwas geschehen. Und deshalb muss man da auch als Blogger etwas tun. Das Ganze steht auch vor dem Hintergrund, den Blog weiter zu entwickeln.
Welche Daten erhebe ich denn überhaupt?
Jetzt kann man hergehen und sagen, dass ich nichts speichere. Das würde ich auch gern. Aber dann würde folgendes passieren: Sie könnten hier im Blog nichts kommentieren. Sie könnten keinen Newsletter abonnieren. Ich könnte nicht heraus bekommen, was Sie überhaupt interessiert. Und solche Dinge. Das ist jetzt nicht unbedingt immer etwas gutes. Aber ich versuche, das Alles so gering wie möglich zu halten. Und so erhebe (oder erhob) ich folgende Daten:
- Name – falls Sie kommentieren oder den Newsletter abonnieren
- Email-Adresse – falls Sie kommentieren oder den Newsletter abonnieren
- IP-Adressen – beim Kommentieren
- Cookies – nun ja
Schauen Sie sich unten mal den Kommentarbereich an. Dort sollen Sie Ihren Namen und Ihre Email-Adresse nebst Ihrem Kommentar eintragen. Welchen Namen und welche Email-Adresse Sie eintragen, können Sie sich im Zweifelsfall ausdenken. Die IP-Adresse aber nicht. Und hierbei sind Sie nachverfolgbar. Das war mir nicht bewusst. Und hier musste ich handeln. Neben anderen Aspekten. Ich habe dazu diesen sehr interessanten Artikel gelesen und mich daran orientiert.
Bereits erfolgte Umstellungen
Einige Dinge habe ich ja glücklicherweise schon umgestellt. Ein paar davon habe ich schon länger in der Form im Einsatz, wie sie jetzt halt vorhanden sind. Und ein paar sind erst gekommen, nachdem mir die Augen geöffnet wurden. Im Folgenden habe mal aufgestellt, was ich bereits umgestellt habe.
Kontaktformular
Ich hatte bisher ein gut gehendes Kontaktformular von Best Web Soft im Einsatz. Das wurde hier und da genutzt. Problematisch war dabei, dass diverse Dinge erst nach Einwurf von Münzen möglich sind, unter anderem der Datenschutz. Ich bin ehrlich: So oft wurde das Kontaktformular nicht genutzt, als dass ich da für eine Selbstverständlichkeit Geld bezahlen müsste. Ich habe daher meine Email-Adresse hinterlegt und das Formular abgeschaltet.
Kommentarbereich
Wie ich oben schrieb, wurde auch die IP-Adresse bei jedem Kommentar eingesammelt. Mir war das schlichtweg nicht bewusst. Ich habe immer dafür plädiert, keine externen Kommentarsysteme wie Disqus zu verwenden, damit möglichst gut mit den Daten der Nutzer umgegangen wird. Hier habe ich reagiert, und zwar wie es hier beschrieben ist. Zuerst muss mal das Sammeln der IP-Adresse unterbunden werden. Das geschieht mit diesem Schnipsel Code in der functions.php des Themes:
function wpb_remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );
Das ist aber noch nicht alles. Zusätzlich dazu muss man ja die gespeicherten IP-Adressen löschen. Dazu meldet man sich am MySQL an, also in PHPMyAdmin. Dort gibt es die Tabelle xx-comments, standardmäßig wp-comments. Dort stehen die IP-Adressen. Und die löscht man mit diesem Befehl:
UPDATE xx_comments SET comment_author_IP = ' ';
Zusätzlich dazu sollte man den Kommentierenden bestätigen lassen, dass der Datenschutz gelesen wurde. Das kann man mit dem Plugin WP GDPR Compliance erreichen. Danach ist der Kommentarbereich halbwegs in Ordnung wegen Datenschutz.
Cookies
Cookies sind ein nervtötendes Thema. Ich habe wie so ziemlich jeder andere Blog hier einen Cookie-Hinweis. Der muss vom Besucher bestätigt werden können. Wenn nicht, darf dennoch niemand ausgesperrt werden. Zudem muss der Weg zur Datenschutz-Erklärung aufgezeigt werden. Und der Cookie-Hinweis darf nicht den Link zum Impressum verdecken. Aber muss der Hinweis überhaupt sein? So richtig klar ist das nach wie vor nicht.
Ich nutze eigentlich nur für Google Analytics Cookies. Dafür habe ich nach der Umstellung auf HTTPS auch eine neue Property eingerichtet. Wenn Sie mit einem Browser-Plugin wie Ghostery nachschauen, finden Sie zwei: Google Analytics und DoubleClick. Letzterer ist mir völlig unbekannt, da ich kein Werbenetzwerk im Einsatz habe. Darüber hinaus ist die VG Wort hier unterwegs. Das liegt aber daran, weil ich ein Autor bin, der dort registriert ist. Ein schwieriges Thema, das ich aber an sich ganz gut im Griff habe.
Google Analytics
Als Webseiten-Betreiber muss man dafür Sorge tragen, dass beim Einsatz von Google Analytics der Internetriese die Nutzerdaten nicht einfach so in die USA transferiert. Sie müssen innerhalb Europas verarbeitet werden. Dafür gibt es einen Auftrag zur Datenverarbeitung. Hierfür sollte man mit Google einen Vertrag schließen und diesen gut aufheben. Das habe ich vor langer Zeit mal gemacht. Und das hat sich auch nicht durch HTTPS geändert.
Social Media
Klar könnte ich eine Twitter-Box und eine Facebook-Box einbauen und die offiziellen Social Media Buttons einbauen. Datenschutzrechtlich einwandfrei ist das aber nicht. Denn diese offiziellen Buttons und diese Boxen sammeln jede Menge Daten. Das macht der ganze Quatsch, den da JetPack mitbringt, im übrigen auch. Deshalb gibt es das Alles hier nicht. Es gibt die Social Media Buttons mit der Erweiterung Shariff. Hier wird nichts ohne Einverständnis gesammelt.
Was mir allerdings Bauchschmerzen bereitet, ist wiederum das Browser-Plugin Ghostery. Das zeigt mir den Gravatar an. Der sorgt dafür, dass von Kommentierenden die Bilder angezeigt werden, wenn sie die Email-Adresse verwenden, mit der sie bei Gravatar, eben diesem Dienst, angemeldet sind. Ob das so sauber ist, weiß ich nicht. Da dies aber bewusst vom jeweiligen Nutzer passiert, denke ich nicht, dass das ein großes Problem ist.
Ausstehende Umstellungen
Neben den Dingen, die ich bereits seit kürzerem oder längerem so im Einsatz habe, gibt es eben auch Aspekte, die ich noch vor mir herschiebe. Diese seien einmal kurz genannt. Und es gibt auch mal kurz meine Gedanken dazu.
Newsletter
Mein Newsletter ist mir ein lieb gewonnenes Kleinod. Ich habe irgendwas zwischen dreißig und vierzig Abonnenten. Das sind treue Leser. Zumindest beim Newsletter. Ich nutze dafür den Dienstleister Mailchimp. Und genau hier liegt das Problem. Denn Mailchimp ist ein Unternehmen in den USA. Das heißt, dass die Nutzerdaten aus dem Newsletter auch dort verarbeitet werden. Das ist blöd. Und ich werde das auch demnächst ändern. Was da kommt, weiß ich nicht.
Es besteht auch die Möglichkeit, dass der Newsletter komplett abgeschafft wird. Diese Option halte ich mir auch offen. Dummerweise habe ich nicht wirklich eine große Reaktion darauf bekommen, als ich meine Leser im Newsletter gefragt habe, was passieren soll. Vielleicht ist es ja auch irrelevant. Ich habe hierzu kurz etwas probiert, aber eine Alternative ging bisher in die Hose. Schwierige Entscheidung. Was würden Sie denn machen?
Daten beim Hoster
Mein Hoster Alfahosting ist ein deutsches Unternehmen. Die mittelständische Firma aus Halle / Saale betreibt Rechenzentren in Deutschland. Und nur dort. Dennoch muss es ein Datenverarbeitungsabkommen geben, habe ich gelesen. Dass Alfahosting die Daten speichern muss, ist normal. Dazu sind sie verpflichtet. Aber als Webseiten-Betreiber muss man wohl mit dem Webhoster ein Abkommen über die Auftragsverarbeitung von Daten schließen. Ich glaube, hier frage ich erstmal per Support-Anfrage nach.
Verarbeitungsverzeichnis
Hier weiß ich noch gar nicht, was das sein soll. Man muss dokumentieren, was man wo speichert. Aber nicht nur das. Es geht auch um das Wie, und ob diese Daten löschbar sind. An sich soll das erst für Unternehmen ab 250 Mitarbeitern gelten. Aber ist das wirklich so? Denn es ist auch die Rede davon, dass die Verarbeitung „gelegentlich“ erfolgt. Aber was soll das denn bedeuten? Spielt es eine Rolle, dass eine ganze Reihe von Daten ausschließlich anonymisiert sind?
Hier sind etliche Fragen offen. Ich bin mir da noch nicht im Klaren darüber. So lang hier noch nichts klar ist, muss ich das Thema erst einmal zurück stellen. Es ist ein Jammer. Denn eigentlich ist hier eine sinnvolle Grenze mit „ab 250 Mitarbeitern“ eingeführt worden, dann wird das Ganze durch „gelegentlich“ wieder ausgehebelt. Verstehe einer die Politik.
Fazit
Datenschutz ist wichtig. Und ich halte ihn für ein hohes Gut. Das spreche ich auch immer wieder hier im Blog an. Es ist ein riesiger Aufwand, dem Datenschutz gerecht zu werden. Ich bin eigentlich recht froh, dass ich einiges schon aus dem Bauch heraus richtig gemacht habe. Ich denke, dass ich gar nicht so schlecht unterwegs bin. Es gibt ein paar Dinge, die ich durchaus verbessern kann. Aber man soll es auch nicht übertreiben.
Man darf den Datenschutz durchaus ernst nehmen. Aber hyperventilieren muss nun niemand. Verschiedenes geht mit dem gesunden Menschenverstand. Am Ende ist es so, dass uns Bloggern doch nicht so viel passieren kann wie Unternehmen, die diese ganze Sache nicht ernst genug nehmen. Und wenn ich mir so überlege, wie viel ich umbauen müsste, wenn ich noch Werbebanner hier einsetzen würde, dann bin ich doch am Ende ganz gut dran. Wahren wir den Datenschutz, und sonst machen wir das, was wir können: Wir führen unseren Blog weiter.
Wie gehst du mit Youtube Videos und dem Youtube Cookie um?
Das ist eine gute Frage. Und so richtig habe ich da noch keine Idee. Am Ende wird es wohl bedeuten, YouTube auszusortieren. Aber ich weiß es noch nicht.
Eine Anmerkung zum „Cookie-Banner“: Das poppt auch dann auf, wenn Cookies im Browser deaktiviert sind! Das ist doch wohl offensichtlich widersinnig, nicht wahr?
Hallo,
ist damit gemeint, dass die Leiste immer zum Teil zu sehen ist? Das ist nicht widersinnig, das ist so gewollt. Wer weiß, vielleicht will den Cookie-Hinweis später nochmal jemand lesen.
Was meinst Du mit „zum Teil“?
Das Cookiebanner erscheint auch, wenn Cookies im Browser geblockt sind. Und dann, was noch nerviger ist, natürlich jedesmal, weil man ja einen Cookie setzen muss um zu speichern, dass ich den Cookiebanner „verstanden“ habe.
Der Cookiebanner sollte besser prüfen, ob Cookies überhaupt aktiv sind und wenn nein, nicht erscheinen.
Ein Blogger sammelt keine personenbezogenen Daten! Demzufolge kommt die Datenschutz-Grundverordnung überhaupt nicht zur Anwendung!
Ich probiere gerade herauszufinden was in meine Datenschutzerklärung soll, und dein Beitrag ist wirklich hilfreich, aber bei mir gibts weder einen Newsletter noch ein Kontaktformular und auch die Kommentare sind ausgestellt. Nach dem ich deinen Beitrag gelesen habe, habe ich jetzt wieder Hoffnung, dass ich vielleicht doch keine Erklärung benötige.
Ich denke „Ich erhebe keinerlei Daten“ reicht vermutlich nicht als Absicherung oder was meinst du?.
Lg Kim