36

Was bedeutet die DSGVO für Blogs?

Ein albernes Bild, das rein gar nichts mit dem Artikel zu tun hat.
Albernes Bild, das rein gar nichts mit dem Artikel zu tun hat.

Sorry für den Titel, denn ich kann die Frage, die dort gestellt wird, leider nicht beantworten. Wir haben ja hier so gut wie alles abgeschaltet, was trackt (Google Analytics z.B.), aber eingebettete YouTube-Videos usw. gibt es dennoch zuhauf. Ich habe keine Ahnung, was ich jetzt mit dieser Seite machen soll/muss, damit sie der neuen Datenschutz-Grundverordnung (DSGVO) entspricht, und da es sicher vielen Menschen ähnlich geht, dachte ich: Wir könnten ja hier Infos in den Kommentaren sammeln.

Es gibt bereits den ein oder anderen Post zum Thema, allerdings schlafe ich beim Lesen immer ein, und wenn mir das alles zu kompliziert wird, verkaufe ich den ganzen Kram und mache was mit Holz. (Was wiederum nicht bedeutet, dass ich die DSGVO gut oder schlecht finde, ich kann das einfach noch nicht beurteilen.)

Falls also jemand wirklich gute, verständliche Tipps für bloggende Menschen mit selbst gehosteten Blogs hat, freue ich mich über Links und Anmerkungen in den Kommentaren. Danke!

UPDATE: Die Bildungspunks sammeln auch!

UPDATE 2: Sicherheitshalber gleich mal der Hinweis, dass ich kein Anwalt bin und hier keine Rechtsberatung stattfindet und dass ich sowieso jede Haftung für alles ablehne, bei Fragen wenden Sie sich bitte an Mark Zuckerberg, an ihre Ärztin oder ihre Apotheke oder an irgendeine andere Person Ihres Vertrauens.

36 Kommentare

  1. 01

    Also SSL würde ich auf jeden Fall schonmal empfehlen! Dazu Cookie-Hinweis ergänzt um Link zum Datenschutzhinweis beim Aufrufen der Seite.

  2. 02

    Ich hab vor ein paar Wochen mal angefangen meine Erkenntnisse für WordPress zu sammeln. Da ich lieber auf Nummer sicher gehen will versuche ich wirklich komplett ohne Cookies und externe Daten auszukommen. IP-Nummern nicht zu speichern usw. Wer will, gern mal hier schauen: https://blog.assbach.de/dsgvo/

  3. 03

    Michael Kausch hat einen großartigen Beitrag zum Thema veröffentlicht: Die „DSGVO für Blog-Betreiber – Dem Grauen begegnen“ http://www.vibrio.eu/blog/die-dsgvo-fuer-blog-betreiber-dem-grauen-begegnen/

  4. 04

    Na das ist doch alles schonmal guter Lesestoff, besten Dank!

  5. 05
    Krischan

    Cookies werden hier offenbar gar keine gesetzt. Und wenn es nur ein Session-Cookie wäre, dann bräuchte es für den auch gar keinen Hinweis.

    Und auch sonst fällt mir bei Blogs, die ja im Normalfall gar keine Kundendaten verarbeiten, keine echte Neuerung ein, die mit der DSGVO hinzukäme. Andernfalls käme eine erweiterte Datenschutzerklärung infrage, bei der genauer aufgeschlüsselt werden muss, welche Daten zu welchen Zwecken verarbeitet (das schließt neuerdings auch schon das erheben ein) werden, wer Zugriff hat und wann sie gelöscht werden.

  6. 06

    Die Deutsche Gesellschaft hat einen Generator für eine neue Datenschutzerklärung: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/

  7. 07

    @#2104543: Na ja, zumindest werden von Blogs ja die Daten (als Beispiel dieser Blog hier) „Name“, „Mail“, ggfls. „Website“ und der Text hier verarbeitet. Von Daher sehe ich schon, dass die DSGVO hier – also bei allen Blogs – greift. Wie aber damit umzugehen ist, kann ich mangels Fachkenntnissen auch nicht sagen.

  8. 08

    Ich mag die DSGVO. Ziemlich sogar. Ich lege sie etwas strenger aus als viele andere. Weil ich es besser finde und weil ich wie Sascha lieber auf der sicheren Seite bin.

    Grundsätzlich: Privacy by Design und Privacy by Default. Oder anders ausgedrückt: So wenig personenbezogene Daten erheben wie möglich und falls doch erhoben wird als Opt-in.

    Darüber hinaus dürfen Daten nicht einfach so an Dritte weitergegeben werden. Dafür muss entweder ein Einverständnis vorliegen, es einen Auftragsverarbeitungsvertrag mit dem Drittanbieter geben oder ein berechtigtes Interesse vorliegen. Beim berechtigten Interesse weiß noch niemand so genau, was alles darunter fallen wird.

    Die DSGVO hat einige Vorteile gegenüber dem BDSG:
    – Auftragsverarbeitungsverträge dürfen digital abgeschlossen werden
    – Einheitlich für ganz Europa
    – Verarbeitung in Drittstaaten nicht kategorisch ausgeschlossen
    – Koppelungsverbot (Sehen wahrscheinlich nicht alle als Vorteil)

    Ansonsten ist fast alles gleich geblieben. Die Bußgelder wurden erhöht. Weil 300k€ großen Unternehmen nicht weh tun. Kleinen hat das auch bisher schon die Existenz gekostet.

    Aufsichtsbehörden werden in den meisten Fällen erst verwarnen, dann anordnen und erst wenn man dann immer noch nicht nachbessert strafen. Strafen sollen aber verhältnismäßig und abschreckend sein. Ein Blog wird eher keine Höchststrafe bekommen.

    Im Kern geht es darum zu wissen wo und wie personenbezogene Daten verarbeitet werden und dies transparent zu machen, möglichst wenig Daten zu erheben und diese ausreichend zu schützen.

  9. 09

    Ich fand die beiden ganz gut als Zusammenfassung:

    https://www.blogmojo.de/dsgvo-checkliste/
    https://digitallotsen.ruhr/dsgvo-vs-online-marketing/

    Grundsätzlich begrüße ich, dass Daten nun besser geschützt werden. Aber als Blogger mit kleinem WordPress Blog bin ich gerade irgendwas zwischen verunsichert und verzweifelt. Ich lese mich durch alle möglichen Blogposts aber habe das Gefühl trotzdem nicht alles richtig machen zu können :(

  10. 10
  11. 11
  12. 12

    Das gesamte Thema ist ein Traum, denn jeder schreibt etwas anderes.

    Cool, dass ihr zwei Wochen vor der re:publica noch Zeit habt, um das GDPR / GSGVO Fass aufzumachen. Dine Links sind ja schonmal ganz nett.

    Allerdings sind die meisten Artikel unleserliche Notitzsammlungen. Hier eine hübsche Liste, mit konkreten to-dos und allem:
    https://www.webtimiser.de/so-bereitest-du-wordpress-auf-die-dsgvo-vor/

    Keine Ahnung ob das die ultimative Liste ist, aber sie liest sich gut und klingt nicht ganz so nach Panikmache.

  13. 13

    Wegen YouTube: Man kann die Videos anscheinend ohne Tracking einbinden, muss dazu aber den erweiterten Datenschutzmodus aktivieren.

  14. 14

    Ich hab vor kurzem meine Rechercheergebnisse zur DSGVO für Einzelunternehmer und Freelancer in einem Blogartikel zusammengefasst und wenn ich der Resonanz glauben darf, ist er ganz gut verständlich geworden :-):
    https://www.content-iq.com/2018/03/22/dsgvo-fuer-einzelunternehmer-und-freelancer/

    Da der Artikel auch WordPress-Aspekte mit berücksichtigt, dürfte er auch für Blogger ganz gut passen.

  15. 15
    Christian

    Für YouTube-Videos hilft vielleicht dieses WordPress-Plugin:
    https://wordpress.org/plugins/video-embed-privacy/

  16. 16

    zu #09 IP-Adressen löschen; ich habe bei mir eine Variante, die die IPs maskiert: statt löscht:

    https://www.webrocker.de/2018/04/10/wordpress-kommentare-dsgvo-konformer-machen/

    Nach 5 Tagen sorgt ein altes „delete_comments_ip“ Plugin dafür, dass die aus der DB rausgeschmissen werden.

  17. 17
    Lena

    Hallo Johnny,
    Du schreibst: „Wir haben ja hier so gut wie alles abgeschaltet, was trackt (Google Analytics z.B.) …“
    Das stimmt nicht! Schau Dir mal das Ergebnis vom Tool Webkoll an:
    https://webbkoll.dataskydd.net/en/results?url=http%3A%2F%2Fspreeblick.com%2F

    Neben mehreren technischen Schwachstellen Deines Blogs kann man dort sehen, dass Google Analytics und noch einige andere Tracker auf der Spreeblick-Seite versteckt sind.

    Ich würde mich auch freuen, wenn Du Dir ähnliche Gedanken wie DIE LINKE machen könntest. Sie schreibt zum Thema Datenschutz:

    „Auf unserer Website bieten wir jetzt die Möglichkeit an, zu verfolgen, was DIE LINKE auf Facebook oder Twitter veröffentlicht, ohne in den jeweiligen Diensten selbst angemeldet sein zu müssen. Zusätzlich binden wir Videos ein, die wir in unserem Youtube- Kanal veröffentlichen. Das ist zwar komfortabel, steht aber in direktem Widerspruch zu unserem Anspruch, keine Daten von Nutzerinnen und Nutzern unserer Website an Konzerne wie Google oder Facebook weiterzureichen.

    Denn wer Inhalte von externen Dienstanbietern auf seiner Website direkt einbindet, gibt auch diesen Dienstanbietern direkten Zugriff zu den Informationen über die eigenen Besucherinnen und Besucher der Website.

    Um unserem Anspruch gerecht zu werden und trotzdem Inhalte aus sozialen Medien zugänglich zu machen, haben wir einige technische Verrenkungen vorgenommen. Wir sind ziemlich stolz, dass wir weiterhin der Selbstverpflichtungserklärung der Datenschutz-Initiative »Wir speichern nicht« entsprechen und keine Daten ungefragt an externe Dienstleister weiterleiten. Alle direkt eingeblendeten Inhalte unserer Website kommen nur von unseren Servern oder von Servern der Linksfraktion im Bundestag oder in Europa.“

  18. 18
    Lena

    @#2104543: Doch, es werden 19 Cookies gesetzt – 8 Spreeblick-Cookies und 11 von Drittanbietern. Siehe hier:
    https://webbkoll.dataskydd.net/en/results?url=http%3A%2F%2Fspreeblick.com%2F

  19. 19

    @#2104587: Hm, schaue ich mir mal in Ruhe an, denn von unserer Seite wird kein Analytics eingesetzt – kann aber sein, dass das über Dritte läuft. Danke jedenfalls für den Link. Warum da nun auch noch Parteiwerbung dabei sein musste, weiß ich nicht, aber whatever. :)

  20. 20
    Armin

    @#2104547: nein, so einfach ist es nicht. Es gilt eben nicht bei „allen Blogs“. Wenn es ein wirklich rein privates Blog ohne Werbung, Affiliate Links, Kooperationsangebote usw das als ein reines Hobby in der Freizeit betrieben wird ist, dann trifft das GDPR nicht zu.
    Ja, solche Blogs gibt es noch. Nicht das ganze Netz ist kommerzialisiert.

  21. 21

    Jetzt am Computer, da sehe ich mehr.

    Ich nutze dazu die Entwicklertools des Browsers (F12) und den Quelltext (strg+u).

    Zwei Jquery-Dateien werden vom Google CDN geladen. Dabei wird die IP übertragen. Am einfachsten lässt sich das lösen, indem man sie auf den eigenen Webspace packt und die URLs anpasst.
    https://ajax.googleapis.com/ajax/libs/jquery/1.12.2/jquery.min.js
    https://ajax.googleapis.com/ajax/libs/jquery/2.2.2/jquery.min.js

    (Grundsätzlich sollte man auch schauen, ob tatsächlich beide gebraucht werden und ob die sich da nicht in den Weg kommen.)

    Dann wird von Facebook ein Skript geladen. Von graph.facebook.com. Das konnte ich erst nicht zuordnen. Es wird nämlich von Jetpack geladen in dessen Sharing-Funktion geladen. Das sollte ausgeschalten werden und am besten mit statischen Sharing-Links ersetzt werden.

    Auch von Jetpack kommt das Script für das WordPress-Tracking. Auf der sicheren Seite ist man, wenn man es rauswirft. Alternativ muss man schauen, ob es dafür zumindest eine Opt-Out-Option gibt. Und einen AVV mit Automattic abschließen.

    Mint auf dem eigenen Server finde ich gut gelöst. Zwei Statistik-Dienste (Jetpack + Mint) widerspricht aber dem Grundsatz der Datensparsamkeit.

    SSL wäre auf jeden Fall wichtig.

    Google Analytics kommt nur über die Embeds auf der Startseite rein. Auf dieser Unterseite ist es etwa nicht.

  22. 22

    Gute Sammlung, Dankeschön!

  23. 23

    @#2104587: Publiziert die LINKE auch die entsprechende Anleitung veröffentlicht, wie sie das alles macht?

  24. 24

    Außerdem: Die bloße Aufnahme von Personen (nicht nur die anschließende Veröffentlichung) wird zu einem Akt der personenbezogenen Datenerhebung und fällt damit unter den Anwendungsbereich der DSGVO mit all ihren Konsequenzen. https://freelens.com/politik-medien/aus-fotos-werden-daten/

  25. 25

    @#2104611: Leider ist das nicht so. Die DSGVO muss von allen beachtet werden, die persönliche Daten von Dritten (natürlichen) Personen verarbeiten. Die Ausnahme ist die PERSÖNLICHE Datenverarbeitung, wenn ich also z.B. nur für mich persönliche oder den Familienkreis eine Adress/Geburtstagsliste pflege. Da eine Webseite aber immer öffentlich ist und nicht nur für den persönlichen Gebrauch, ist auch hier die DSGVO zu beachten.

  26. 26
    Armin

    @#2104738: nein. Das Gesetz gilt nur für kommerzielle (egal welcher Form) Organisationen (einschließlich Einzelunternehmen). Es gilt nicht für Oma Krahwinkel’s Blümchenbilderwebsite.

  27. 27
    Armin

    @#2104738: zur Ergaenzung: https://dsgvo-gesetz.de/erwaegungsgruende/nr-18/ „die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird“
    Wenn Du also Buchhalter in einer Maschinenfabrik bist und in Deiner Freizeit ein Photoblog mit Landschaftsbildern machst besteht kein Bezug (so lange keinerlei Werbung oder sonstwie wirtschaftliches stattfindet. Wenn Du die Bilder auch verkaufst ist das natuerlich wirtschaftlich).

  28. 28
    Inge

    @#2104763: Das stimmt einfach nicht, Armin. Wie Mario schon sagte, sobald du eine Website online stellst, ist sie öffentlich und nicht mehr ausschließlich persönlich oder familiär. Vielleicht hast du Lust auf einen ausführlichen Podcast zum Thema, aber Vorsicht: seeeehr lang ;-) https://rechtsbelehrung.com/dsgvo-alles-zur-eu-datenschutzgrundverordnung-rechtsbelehrung-folge-54-jura-podcast/

  29. 29
  30. 30
    Andreas

    Danke erstmal an alle für die Infos, durch die ich mich noch durcharbeiten muss.

    Auf meiner eigenen bescheidenen privaten Website gibt es kein Kontaktformular und auch keine Kommentarfunktion.

    Meine offenen Fragen kann ich so zusammenfassen:

    * privat
    * kein Kontaktformular
    * keine Kommentarfunktion
    * keine „Like“-Buttons
    * kein Google Analytics-Skript
    * Apache loggt Besuchsstatistiken
    * keine Cookies
    * gehostet von Provider

    1 Muss ein Passus zum „Umgang mit personenbezogenen Daten“ in die Datenschutzerklärung?

    2 Darf die Datenschutzerklärung Teil der Seite „Impressum“ sein?

    3 Dürfen Impressum und Datenschutzerklärung Teil der Seite „Kontakt“ sein?

    4 Muss mit dem Provider ein „Vertrag zur Auftragsverabreitung nach § 28
    DSGVO“ geschlossen werden?

    5 Muss zu den Besuchsstatistiken ein Passus in die Datenschutzerklärung?

  31. 31

    … wenn ich das alles lese, dann werd ich krank. Gibt es eigentlich noch normale menschen die essen, kacken und schlafen?

  32. 32
    Patrick

    Seit einigen Jahren veröffentliche ich ausschließlich über eine eigens dafür eingerichtete Britische Limited und auf ausländischen Servern. Die Ltd stellt eine juristische Person außerhalb Deutschlands dar, dessen Rechtssystem als einziges z.B. die Abmahnung kennt. Während diese Praxis im „seriösen“ Internet unbekannt ist, ist sie zur Umgehung von Jugendschutzbestimmungen im Erotikbereich weit verbreitet. Da sollte nach meiner Rechtsauffassung ein erheblich höheres Interesse es zu unterbinden bestehen als bei Menschen, die über harmlose Dinge schreiben und ihr bestes tun die Privatsphäre und Rechte ihrer Besucher zu schützen. Das „Recht“ im Internet ist ein typisches Beispiel der deutschen Gerontobürokratie, absolute Ahnungslosigkeit zusammen mit antiliberaler Überregulierung.

  33. 33
    Alexander

    @#2104556: Also VG Wort Tracker läuft bei dir aber und Social Media Buttons…

  34. 34

    Ich habe mein rein privates Blog nach bestem Wissen und Gewissen angepasst und hoffentlich DSGVO sicher gemacht. Ein mulmiges Gefühl bleibt allerdings. Und die Frage, ob es das wert ist. Möchte ich nur für so ein olles Blog meine Existenz aufs Spiel setzen? Weil ich für das freie Netz kämpfen möchte? Wo kann ich meine Sorgen oder Ratschläge zu dem Thema formulieren, wenn nicht in meinem eigenen Blog? Auf Facebook?

    Vielleicht werde auch ich nach 13 Jahren dicht machen. Und ich kann es nicht mal ausführlich erklären, denn es gibt keine Plattform mehr.

  35. 35

    Es ist zum Kot***. So kriegen sie uns doch noch stillgelegt. Versuchen es ja schon seit Jahren. Tschüss Vielfalt im Internet. Ist dann nur noch für große Firmen & Kommerz offen. Die können sich die Abmahnungen leisten.
    Vom Spiegel online heute. Vielleicht ganz hilfreich:
    http://www.spiegel.de/netzwelt/web/dsgvo-das-sollten-sie-zur-datenschutz-grundverordnung-der-eu-wissen-a-1205985.html#ref=nl-dertag
    Da ist auch ein Generator mit dabei.