DSGVO für Blogger und Websitebetreiber – das musst Du wissen!

DSGVO Leitfaden - DSGVO für Blogger und Websitebetreiber

Seit dem 25.05.2018 ist die DSGVO, die neue Datenschutzgrundverordnung in Kraft. Spätestens jetzt ist Zeit zu handeln, denn bei Nichtbeachtung drohen empfindliche Strafen und das Risiko einer Abmahnung ist groß. In diesem kleinen Blogartikel möchte ich Dich ein wenig für das Thema Datenschutz und DSGVO sensibilisieren und Dir einen kleinen Leitfaden für die Umsetzung an die Hand geben.

DISCLAIMER – HINWEIS:

Ich bin weder Juristin noch Datenschutzbeauftragte! Dieser Artikel stellt KEINE Rechtsberatung dar, sondern gibt lediglich das wieder, was ich in eigener Recherche Arbeit zu diesem Thema herausgefunden habe. Ich übernehme keine Gewähr für Richtigkeit, Aktualität und Vollständigkeit meiner Ausführung und keinerlei Haftung für mögliche Rechtsfolgen.

Inhaltsverzeichnis

DSGVO – was ist das überhaupt?

Zuallererst: die DSGVO ist gar nicht so neu. Sie wurde 2016 bereits in der EU beschlossen und soll das Datenschutzrecht in der EU vereinheitlichen. DSGVO steht für Datenschutzgrundverordnung und sie trat am 25.05.2018 in Kraft. Ziel der DSGVO ist es, die Privatsphäre zu stärken und mehr Kontrolle über persönliche Daten zu geben. Der Schutz persönlicher Daten soll gewährleistet sein und deren Nutzung soll transparenter werden. Der Nutzer soll selbst aktiv entscheiden können, welche Daten er herausgibt und welche nicht – und er soll wissen, was mit den Daten geschieht.

Wer ist von der DSGVO betroffen?

Grundsätzlich: ALLE, die Daten ihrer Nutzer erheben und verarbeiten und das tut im Prinzip jeder Websitebetreiber, sei es über Kontaktformulare, Google Analytics, Facebook Pixel, Newsletter etc. Damit sind auch kleine Unternehmen und Selbständige betroffen, nicht nur große Konzerne. Die DSGVO gilt übrigens auch für Nicht-EU-Unternehmen, wenn sie Daten von EU-Bürgern verarbeiten, also beispielsweise Email-Marketing-Anbieter wie Mailchimp oder ActiveCampaign.

Welche Strafen erwarten mich?

Die zuständige Datenschutzbehörde vor Ort überwacht sie Einhaltung der Vorschriften, es stehen Strafen von bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes im Raum. Und das sind die offiziellen. Von Abmahnkosten ganz zu schweigen, denn geschäftstüchtige Profi-Abmahner wetzen bereits ihre Messer.

Der Datenschutzhinweis

Du brauchst auf jeden Fall eine Datenschutzerklärung auf Deiner Website. Diese muss genau wie das Impressum von jeder Unterseite Deiner Website aus erreichbar sein, und zwar am besten als eigener Menüpunkt, als eigene Unterseite. Dieser kann dann z.B. „Datenschutz“ oder „Datenschutzerklärung“ heißen. Deine Datenschutzerklärung sollte beinhalten:

  • welche Daten erhoben und verarbeitet werden
  • ob und in welcher Form Daten an Dritte weitergegeben werden
  • ein Widerrufsrecht / Recht auf Löschung / Opt-Out für den Nutzer
  • ein Ansprechpartner für Fragen

Die Datenschutzerklärung sollte individuell auf die jeweilige Website / den Website-Betreiber angepasst sein. Du kannst Datenschutzgeneratoren nutzen, allerdings haftest Du dann auch selber, das sollte Dir bewusst sein. Deshalb prüfe diese Generatoren daraufhin, ob sie auch wirklich alle Tools beinhaltet, die Du im Einsatz hast. Gerade bei sehr individuellen und komplexen Konstellationen solltest Du einen Rechtsanwalt zu Rate ziehen.

Ein Muster für eine Datenschutzerklärung gibt’s bei bei activeMind, bei der Deutschen Gesellschaft für Datenschutz oder im Premium-Bereich von e-Recht24 Auch der Datenschutz-Generator von RA Schwenke ist sehr zu empfehlen.

Weitere Datenschutzgeneratoren: Anwaltskanzlei Weiß & Partner, WBS Law Datenschutzerklärung für Facebook-Seiten und Gruppen von Lawlikes.

Datenschutzerklärungen für Österreich gibt’s bei der WKO oder bei Advolist.

Mein Tipp: der Datenschutzgenerator von e-Recht24 Premium, den ich (in angepasster Form) auch hier auf meiner Website einsetze.

Datenschutzerklärung FAQ beim Rechtsbelehrung Podcast

Cookies

Diese „bösen kleinen Kekse“ sind Datenpakete, die zwischen Webbrowser und Webserver ausgetauscht werden. Es handelt sich um kleine Textdateien, die auf dem Computer des Websitebesuchers gespeichert werden und Informationen zur Identifikation des Nutzers enthalten. Diese kommen z.B. häufig in Online-Shops vor, wo Informationen über den Warenkorb gespeichert werden, andere Beispiele sind die Tracking-Cookies von Google Analytics oder das Facebook Pixel oder Cookies von Affiliate- und Werbenetzwerken. Jeder kennt sie, die Werbeanzeigen, die nach dem Besuch beispielsweise eines Onlineshops die dort angeschauten Produkte auf einer fremden Website anzeigen.

Notwendige vs. nicht notwendige Cookies

Man unterscheidet hier zwischen funktionalen (technisch notwendigen) Cookies, die zum Betrieb der Website notwendig sind wie das Speichern von Login-Daten oder Session-Cookies beim Warenkorb oder Sprachauswahl (werden beim Schließen des Browsers gelöscht) und technisch nicht notwendigen Cookies wie Tracking-Cookies und Targeting-Cookies.

Funktionale Cookies dürfen ohne vorherige Zustimmung gesetzt werden, nach der EU-Cookie-Richtlinie ist bei nicht funktionalen Cookies eine Zustimmung (Opt-In) erforderlich. Du musst auf Deiner Website auf die Nutzung von Cookies hinweisen – das ist nun Pflicht. Allerdings reicht in Deutschland derzeit noch ein Opt-Out, d.h. der Nutzer muss lediglich die Möglichkeit haben, Cookies zu deaktivieren.

UPDATE 05.08.2019: Laut EuGH Urteil vom 29.07.2019 ist Opt-In in Deutschland nun Pflicht (siehe auch den Artikel von RA Schwenke)!

Nun hat auch der BGH entschieden, dass für alle technisch nicht notwendigen eine Einwilligung der Nutzer notwendig ist – und das gilt insbesondere dann, wenn Du Tracking einsetzt.

Hier eine Liste von Cookie Plugins für die eigene WordPress-Website, die ein Opt-In beinhalten:

  • Das kostenpflichtige Plugin Borlabs Cookie * bietet eine Opt-In Lösung für Cookies, Google Analytics & Facebook Pixel Unterstützung, Blockieren und Nachladen von iframes (Google Maps, YouTube, Vimeo…)
  • Pixel Mate*: Facebook Pixel datenschutzkonform einbinden mit Opt-In (inkl. Google Analytics mit IP Anonymisierung und Opt-In) und Cookie-Notice. Neu: Blockierung externer Ressourcen
Wichtig
Sobald Du Tracking einsetzt (Facebook, Google Analytics etc.) ist eine Einwilligung Pflicht!

Drittanbieter: Verarbeitungsverzeichnis anlegen!

Was sind nun Drittanbieter? Das sind alle Anbieter, die nicht direkt zum eigenen Unternehmen gehören und die auf Deiner Website Daten erheben oder verarbeiten. Mit diesen Anbietern sollten Auftragsdatenverarbeitungsverträge abgeschlossen werden und sie sollten explizit in einem eigenen Abschnitt in der Datenschutzerklärung aufgeführt werden (inkl. Name und Anschrift der Firma, Hinweis auf die Art und Verwendung der Daten und auf den Auftragsdatenverarbeitungsvertrag.) Bei Drittanbietern aus USA solltest Du darauf achten, dass sie im Privacy Shield registriert sind!

Beispiele für Drittanbieter:

Tracking-Dienste

wie Google Analytics oder Facebook Pixel. Hier werden personenbezogene Daten erfasst u.a. die IP Adresse, das Nutzerverhalten, zum Teil über Seiten hinweg. So lassen sich Nutzerprofile erstellen, selbst wenn der Websitebesucher davon gar nichts weiß und dem nie zugestimmt hat. Gerade Facebook Pixel ist besonders datenhungrig.

Email-Marketing-Dienste

wie ActiveCampaign, Mailchimp, GetResponse, KlickTipp, ConvertKit, Cleverreach, Sendinblue etc.

Terminbuchungs- und Kalendertools

wie Acuityscheduling, YouCanBookMe, eTermin

Zahlungsanbieter

wie Elopage oder Paypal. Digistore ist Reseller und kein Auftragsverarbeiter.

Webinaranbieter und Video Streaming Tools

wie Zoom, Clickmeeting, Webinaris, Webinarjam, …

Webhoster

wie All-Inkl.com, Domainfactory, HostEurope, Strato, 1und1, Jimdo… Selbst wenn Du keine Tracking Dienste, Social Plugins oder Email Marketing nutzt: In dem Moment, in dem Du eine Website betreibst, werden bereits Daten Deiner Besucher erhoben: nämlich über die Logfiles (hier werden IP Adressen gespeichert)

Cloud Services

wie Google Drive, Dropbox etc. Sobald Du hier z.B. Deine Backups ablegst, die personenbezogene Daten enthalten.

Emailanbieter

wie gmail, gmx, yahoo etc. In den Business-Varianten der Maildienste (z.B. Gmail) ist es möglich, AV-Verträge abzuschließen. In der Regel benötigst Du hier keinen AV-Vertrag, sofern der Emaildienst nur zur reinen Nachrichtenübermittlung genutzt wird. Demnach wäre der Email-Dienstleister ein reiner TK-Dienstleister. Sollten jedoch weitere Dienste genutzt werden, kann es nötig sein, AV-Verträge abzuschließen (z.B. Google Drive). Reine Email-Anbieter benötigen demnach keinen AV-Vertrag, sollten aber im Verarbeitungsverzeichnis aufgeführt sein.

Landingpagetools oder All-in-One-Online-Marketing-Dienste

wie Leadpages, Infusionsoft, Clickfunnels, Kajabi,….

Plugins und Widgets

allen voran das berüchtigte Jetpack, das gerne mal „nach Hause telefoniert“, oder auch Social Media Widgets. Mehr zum Thema WordPress Plugins und DSGVO

Embeds: Videos, Podcasts & Co.

von YouTube, Vimeo, Soundcloud, Libsyn & Co.. Hier werden Inhalte des fremden Anbieters auf Deiner Seite geladen und damit schonmal die IP Adresse Deines Besuchers weitergegeben. Bei einigen dieser Dienste ist es möglich, Benutzeraccounts anzulegen. Sollte nun Dein Websitebesucher z.B. einen YouTube oder Soundcloud Account haben und eingeloggt sein, können die übertragenen Daten auch seinem Account zugeordnet werden.

Teammitglieder, Freelancer, VAs

– hier solltest Du eine Verschwiegenheitserklärung unterzeichnen lassen, denn sie arbeiten ja u.U. mit personenbezogenen Daten Deiner Kunden / Nutzer. Außerdem arbeitest Du wiederum, mit deren Daten. TODO: Lege Dir ein Verarbeitungsverzeichnis (z.B. als Word-Datei oder Excel-Tabelle) an, in dem Du alle Anbieter, Plugins und Teammitglieder auflistest, mit denen Du zusammenarbeitest! Hier gibt es Vorlagen dazu: WKO | Activemind.de | Regina Stoiber

Eine Liste mit Links zu AV-Verträgen findest Du bei Blogmojo.

US Anbieter: Die Sache mit dem Privacy Shield

Mit EUGH Urteil vom 16.07.2020 gilt nun der Privacy Shield, die Vereinbarung zum Datenaustausch zwischen Europa und den USA als ungültig. D.h., die Verwendung eines Dienstes (Drittanbieter) aus den USA ist demnach nicht mehr sicher und kann abgemahnt werden. Einen Lichtblick bieten derzeit noch die sogenannten EU-Standardvertragsklauseln oder Einwilligungen des Nutzers.

Auch hier gilt: NO PANIC! Vermutlich ist es aber besser auf lange Sicht gesehen, entsprechende Anbieter in der EU oder in anderen sicheren Drittländern wie z.B. der Schweiz zu finden.

Mehr dazu bei eRecht24 und Dr. Schwenke.

SSL Verschlüsselung

SSL-Verschlüsselung ist nicht nur in SEO-Hinsicht empfehlenswert. Sie ist zwar keine Pflicht in der DSGVO, aber ohne eine SSL-Verschlüsselung ist eine sichere Datenübertragung nicht möglich. In meiner Anleitung zeige ich Dir, wie Du eine SSL Verschlüsselung einrichtest.

Formulare

Du nutzt Formulare auf Deiner Website? Bestimmt tust Du das. Wenn Du einen Onlineshop betreibst, sowieso, aber auch das simple Kontaktformular sammelt Daten. Überlege Dir hier zum einen, welche Daten Du WIRKLICH brauchst und mach dem Nutzer transparent, WOFÜR Du die Daten brauchst. Bei einer Kontaktaufnahme ist natürlich die Email zwingend erforderlich, damit Du die Anfrage auch beantworten kannst – aber benötigst Du wirklich das Geburtsdatum oder den Mädchennamen der Großmutter?

Einwilligung per Checkbox einholen – sinnvoll? 

Warum die Einwilligung nicht unbedingt die beste Rechtsgrundlage für das Verarbeiten von Kontaktformulardaten ist und welche Rechtsgrundlagen stattdessen greifen, das erklärt Rechtsanwalt Stephan Hansen-Oest in seinem neuesten Podcast: Braucht mein Kontaktformular jetzt eine Checkbox?. Anders sieht es natürlich aus, wenn Du besonders sensible Daten abfragst. Mittlerweile unterstützen die meisten Formular-Plugins und Pagebuilder Checkboxen, so dass Du kein separates Plugin mehr dafür brauchst.

TODO: Du solltest in der Nähe von Kontaktformularen immer darauf eingehen, welche Daten wofür und für wie lange erhoben werden, wie lange sie gespeichert werden, ob sie an Dritte übermittelt werden (in Kurzform) und dann auf die Datenschutzerklärung verlinken, die ausführliche Informationen enthält.

Kommentarfunktion

WordPress bietet jetzt ab Version 4.9.6 eine Checkbox bei den Kommentaren an. (in Einstellungen → Diskussion lässt sich das aktivieren bzw. deaktivieren).

Kommentar Abos

Du bietest auch die Möglichkeit, Kommentare zu abonnieren, d.h. Deine Besucher bekommen eine automatische Email, wenn es einen neuen Kommentar gibt? Dann musst Du auch hier das Double-Optin-Verfahren anwenden. Ein geeignetes Plugin hierfür ist Subscribe to „Double-Opt-In“ Comments.

IP Adressen in Kommentaren

Thema IP Adressen in Kommentaren: WordPress speichert standardmäßig die IP Adressen der Kommentarschreiber. Die Erfassung der IP Adresse ist aber nicht unbedingt datenschutzkonform. Was also tun? Es gibt ein Plugin dafür, RemoveIP, das allerdings bereits seit 2 Jahren nicht mehr weiterentwickelt wird. Du könntest einen kleinen Code in Deine functions.php einfügen, das die Speicherung der IP-Adressen verhindert. Dieses kleine Plugin von Thomas Leister wandelt alle IP Adressen in die IP 127.0.0.1 (Localhost) um. (Das o.g. Plugin macht übrigens nix anderes). Bestehende IP Adressen müsstest Du dann in der Datenbank manuell löschen.

function remove_comment_ip()
{
return "127.0.0.1";
}
add_filter( 'pre_comment_user_ip', 'remove_comment_ip', 50);

Das Plugin Remove Comment IPs – löscht IP Adressen nach 60 Tagen aus der Datenbank (so lange werden sie aus Anti-Spam-Gründen gespeichert)

Leider gibt es derzeit kein Plugin, das bei älteren Kommentaren die IP Adressen löscht (zumindest ist mir keins bekannt – für Hinweise bin ich dankbar!). Um bei älteren Kommentaren die IP Adresse zu löschen, müsstest Du in der Datenbank selbst Hand anlegen. Siehe hierzu das Tutorial von WP Beginner.

Es kann allerdings aus strafrechtlichen Gründen sinnvoll sein, IP Adressen zu behalten (siehe diesen Beitrag auf datenschmutz.net) . Außerdem wird es wahrscheinlich (hoffentlich) von WordPress selbst bald eine Lösung dazu geben. Du solltest im Bereich der Kommentare noch einmal auf die Datenschutzerklärung verweisen.

Umgang mit Kommentarspam

Kommentarspam solltest Du übrigens nach wie vor aus Datenschutzgründen nicht mit dem WordPress-Standard-Plugin Akismet, sondern mit Antispam Bee bekämpfen. Hier solltest du allerdings noch eine kleine Einstellung machen, um AntiSpamBee wirklich datenschutzkonform zu nutzen: „Öffentliche Spamdatenbank berücksichtigen“ solltest Du deaktivieren.

WordPress Plugins, Gravatare und Emojis

Einige Plugins sind datenschutzrechtlich bedenklich. In meinem Artikel WordPress Plugins und die DSGVO findest Du eine Liste der kritischen Plugins, ggf. Alternativen und eine Liste nützlicher Plugins.

Gravatare deaktivieren

Gravatare sind übrigens auch nicht ganz ohne. Wenn Du sicher gehen willst, deaktivierst Du Gravatare unter Einstellungen -> Diskussion. Falls Du Gravatare weiterhin nutzen willst, weise am besten schon bei den Kommentaren darauf hin und setze einen entsprechenden Hinweis in die Datenschutzerklärung. Als Alternative für die Gravatar-Funktion bietet sich das Plugin WP User Avatar an, das ich auch für meine Kommentare einsetze. Du kannst hier Avatar-Bilder auf Deinen Server hochladen und in den Einstellungen Gravatar deaktivieren und nur lokale Avatare verwenden.

Emojis deaktivieren

Emojis: diese kleinen bunten Smileys 🙂  werden von neuen Browsern unterstützt, für ältere Browser wird zusätzlicher Code von einem CDN geladen. Das Plugin Disable Emojis entfernt diesen zusätzlichen Code. Du kannst das allerdings auch einfach über die functions.php abstellen (Quelle – Disable Emojis) :

/**
* Disable the emoji's
*/
function disable_emojis() {
remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
remove_action( 'admin_print_scripts', 'print_emoji_detection_script' );
remove_action( 'wp_print_styles', 'print_emoji_styles' );
remove_action( 'admin_print_styles', 'print_emoji_styles' );
remove_filter( 'the_content_feed', 'wp_staticize_emoji' );
remove_filter( 'comment_text_rss', 'wp_staticize_emoji' );
remove_filter( 'wp_mail', 'wp_staticize_emoji_for_email' );
add_filter( 'tiny_mce_plugins', 'disable_emojis_tinymce' );
add_filter( 'wp_resource_hints', 'disable_emojis_remove_dns_prefetch', 10, 2 );
}
add_action( 'init', 'disable_emojis' );/**
* Filter function used to remove the tinymce emoji plugin.
*
* @param array $plugins
* @return array Difference betwen the two arrays
*/
function disable_emojis_tinymce( $plugins ) {
if ( is_array( $plugins ) ) {
return array_diff( $plugins, array( ‚wpemoji‘ ) );
} else {
return array();
}
}/**
* Remove emoji CDN hostname from DNS prefetching hints.
*
* @param array $urls URLs to print for resource hints.
* @param string $relation_type The relation type the URLs are printed for.
* @return array Difference betwen the two arrays.
*/
function disable_emojis_remove_dns_prefetch( $urls, $relation_type ) {
if ( 'dns-prefetch' == $relation_type ) {
/** This filter is documented in wp-includes/formatting.php */
$emoji_svg_url = apply_filters( 'emoji_svg_url', 'https://s.w.org/images/core/emoji/2/svg/' );
$urls = array_diff( $urls, array( $emoji_svg_url ) );
}

return $urls;
}

Auch das Autooptimize Plugin hat eine Funktion, Emojis und Google Fonts zu entfernen. Auch mein Lieblings-Caching-Plugin WP Rocket* deaktiviert Emojis per Mausklick.

Google Fonts

Google Fonts – was haben Schriftarten denn nun mit Datenschutz zu tun? Ganz einfach, sobald Du die Schriftarten auf Deiner Website vom Google CDN lädst, erfolgt ein Zugriff auf den Google Server und dadurch wird ein personenbezogenes Datum – nämlich die IP Adresse übertragen. Die meisten professionellen Themes verwenden Google Fonts und laden sie vom Google Server. Dabei kannst Du mit ein paar Handgriffen die Fonts auch lokal auf Deinem Webserver ablegen und von dort aus laden.

In diesem Artikel zeige ich Dir, wie Du es machst: Google Fonts lokal einbinden. Wichtig: Child Theme benutzen, falls Du Änderungen an Deiner functions.php machst! Für andere Schriftarten (z.B. Font Awesome) gilt ähnliches. (Aber zum Glück gibt es ja auch dafür mittlerweile Plugins bzw. Erweiterungen zu Pagebuildern).

Achtung bei Adobe Typekit! Hier gibt es keine Möglichkeit, die Schriftarten herunterzuladen und lokal zu nutzen. Du solltest Dir also für diese Schriftarten einen Ersatz suchen (ähnliche Schriftart) oder, falls Du gar nicht darauf verzichten willst, zumindest in der Datenschutzerklärung darauf hinweisen. Das gilt übrigens auch dann, wenn Du nicht auf das externe Laden von Google Webfonts oder Font Awesome verzichten willst.

Da bereits die ersten Abmahnungen zum Thema Google Fonts raus gingen, empfehle ich Dir, die Fonts lokal einzubinden, um auf Nummer sicher zu gehen.

Google Maps

Um Google Maps DSGVO-konform zu nutzen, solltest Du Dir vorher eine Einwilligung Deiner Nutzer einholen. Das kann geschehen durch eine 2-Klick-Lösung, nach der Nutzer erstmal zustimmen müssen, bevor sie Google Maps laden. Borlabs Cookie* und AWEOS Google Maps iframe load per click bieten eine solche Lösung an. Ansonsten bleibt natürlich noch die Möglichkeit, die Map einfach zu verlinken.

Google Analytics

Der Einsatz von Google Analytics und auch Facebook Pixel ist ohne Optin nicht zu empfehlen.

Am 26.04.2018 hatte die Datenschutzkonferenz  (ein Zusammenschluss deutscher Datenschutz-Aufsichtsbehörden) in einer Positionsbestimmung festgestellt, dass der Einsatz von Tracking-Tools einer vorherigen Einwilligung, also eines Optins des Nutzers, bedarf.

Siehe auch: Mein Artikel: Google Analytics und die DSGVO

[UPDATE 02.05.] Der rechtskonforme Einsatz von Google Analytics & Universal Analytics von Rechtsanwältin Nina Diercks Einwilligung beim Tracking – Ratschlag vom Datenschutz Guru Rechtsanwalt Stephan Hansen-Oest

Optin-Pflicht
UPDATE 05.08.2019: Laut EuGH Urteil vom 29.07.2019 ist Opt-In in Deutschland nun Pflicht!!! Ich empfehle dringend, eins der unten aufgeführten Plugins zu nutzen!

Optin für Google Analytics

Hier kann ich folgende Plugins empfehlen:

Weitere geeignete Plugins sind:

Google Analytics Germanized: hier ist anonymize_ip bereits voreingestellt und ein Opt-out Link ist enthalten, UPDATE 27.04.: nun auch mit Cookie Notice!

Auch mein Lieblings-SEO-Plugin SEOPress bietet die Möglichkeit, Google Analytics datenschutzkonform einzubinden und eine Einwilligung einzuholen.

Auch die beiden Plugins Google Analytics for WordPress by MonsterInsights und Google Analytics Dashboard for WP (GADWP)  bieten mittlerweile laut eigenen Aussagen die Möglichkeit einer datenschutzkonformen Einbindung von Google Analytics.

Zusätzlich zu den Plugins musst Du die folgenden Schritte ausführen:

Auftragsverarbeitungsvertrag mit Google

Um Google Analytics rechtssicher zu nutzen, benötigst Du zum einen eine Auftragsdatenverarbeitung mit Google. Die findest Du als elektronische Variante unter Kontoeinstellungen –> Zusatz –> Zusatz anzeigen.

Den Auftragsdatenverarbeitungsvertrag musst Du übrigens für jedes Konto abschließen, also falls Du für jede Website ein separates Konto nutzt, separat für jede Website! Siehe auch Anleitung von Rechtsanwalt Dr. Schwenke zum Thema Analytics.

Google Analytics anonymisieren

Dann solltest Du den Google Analytics Code anonymisieren. Das kannst Du entweder von Hand machen oder per Plugin (siehe Liste oben).

Du kannst das aber auch über ein Plugin regeln – ich empfehle Dir aber, wegen der Optin-Pflicht auf eins der drei erstgenannten Plugins zurückzugreifen:

Datenschutzerklärung anpassen

Zu guter Letzt darf dann der Hinweis in der Datenschutzerklärung natürlich nicht fehlen. Außerdem sollte ein Opt-Out in Deiner Datenschutzerklärung vorhanden sein. Den Opt-Out Link kannst Du mit einem Plugin wieBorlabs Cookie, Google Analytics Opt-Out oder Google Analytics Germanized einstellen. Bei Google Analytics kannst Du nun auch die Speicherdauer der Daten einstellen: das machst Du für jede Property unter Verwaltung – > Property ->Tracking-Informationen -> Datenaufbewahrung

Alternativen zu Google Analytics

Im Hinblick auf das EuGH-Urteil zum Privacy Shield macht es ggf. Sinn, sich nach Alternativen umzuschauen wie Matomo oder etracker. Wer nur wenig Funktionalität benötigt und einen reinen Besucherzähler sucht, kann stattdessen auch einfach das datenschutzkonforme Plugin Statify nutzen.

Siehe auch: Mein Artikel: Google Analytics und die DSGVO

Social Sharing & Social Plugins

Eine gute und eine schlechte Nachricht: Social Sharing Plugins sind bis auf wenige Ausnahmen, wie den Shariff Wrapper, das Plugin von eRecht24 oder Mashshare nicht datenschutzkonform, was zumindest die Qual der Wahl vereinfacht. Diese Plugins kommunizieren erst mit dem jeweiligen Social Network, nachdem der Nutzer aktiv auf den Link geklickt hat.

Auch die Facebook Like Box ist problematisch.  Hier ist es vielleicht wirklich besser, einfach bloß einen Link zur eigenen Facebook Seite einzufügen, damit bist Du jedenfalls auf der sicheren Seite. Plugins und Datenschutz.

Facebook Pixel

Für Facebook Pixel gilt das, was ich bereits bei Google Analytics geschrieben habe:

  • Optin-Pflicht
  • AV-Vertrag
  • Datenschutzerklärung

Weitere Infos zur rechtssicheren Einbindung vom Facebook Pixel findest Du im Artikel von Rechtsanwalt Dr. Schwenke. Eine Vorlage zur Anpassung Deiner Datenschutzbestimmungen sowie einen Mustertext für ein Hinweis-Popup von Rechtsanwältin Sabine Keese-Haufs findest Du hier.

Facebook Seite und Datenschutz

Laut dem EUGH-Urteil vom 05.06. sind Facebook-Seitenbetreiber mitverantwortlich für Datenschutzverstöße von Facebook. Das ist allerdings kein Grund, die Facebook-Seite zu schließen. Allerdings solltest du eine Datenschutzerklärung auf Deine Facebook-Fanpage und in Deine Facebook-Gruppe integrieren. Das kann per Link auf z.B. ein PDF auf Deiner Website oder auch als Notiz auf Deiner Facebook Fanpage und Gruppe geschehen (so habe ich es gelöst). Lawlikes bietet hier eine kostenlose Datenschutzerklärung für Facebook-Seiten und Gruppen. Wenn Du eine englische Übersetzung dazu brauchst, wirst Du bei Mrs. Divi fündig.

Embeds: YouTube, Vimeo, Instagram & Co.

Wenn Du Inhalte fremder Websites als sogenannte Embeds in Deine Website einbindest, beispielsweise über iFrames, dann werden auch Daten Deiner Nutzer an die jeweilige Website übertragen. Ganz sicher bist Du hier nur über Textlinks, ein wenig Abhilfe könnte die erweiterte Datenschutzfunktion von YouTube schaffen. Wenn Du ein Video auf Deiner Website einbetten willst, setze beim Einbetten-Code von YouTube das Häkchen bei „Erweiterten Datenschutzmodus aktivieren“. Somit stellst Du sicher, dass die Cookies erst bei Wiedergabe des eingebetteten Videos gesetzt werden. Ein Hinweis in der Datenschutzerklärung ist natürlich auch hier erforderlich. Mehr Infos zu diesem Thema findest Du hier.

Nun gibt es auch eine Anleitung von mir zur DSGVO-konformen Einbettung von YouTube-Videos

Empfehlenswerte Plugins:

Newsletter & Email Marketing

Gerade im Bereich des Email Marketings gibt es einige Dinge, die zu beachten sind. Natürlich kann ich im Rahmen dieses Artikels nicht auf alle Aspekte eingehen, aber hier die m.E. wichtigsten Punkte:

Double Optin

Immer Double-Optin nutzen! Ich denke, das sollte mittlerweile der Standard sein. Double-Optin meint, dass der Nutzer erst eine Bestätigungsmail zugesendet bekommt, in der er explizit einen Link anklicken muss, um in Deinem Verteiler zu landen. Somit ist sichergestellt, dass niemand sich in fremdem Namen für einen Newsletter anmeldet und die Anmeldung freiwillig erfolgt. In der Bestätigungsmail sollte keine Werbung oder sonstige Inhalte enthalten sein!

Datensparsamkeit

Erforderliche und optionale Daten In Deinen Newsletter Formularen sollte nur die Emailadresse zwingend erforderlich sein, alle anderen Daten wie z.B. Name sollten nur optional abgefragt werden! Somit stellst Du sicher, dass der Nutzer selbst entscheidet, welche Daten er preisgibt und welche nicht.

Transparenz beim Email Marketing

Zukünftig musst Du genau darstellen, wozu der Nutzer seine Einwilligung gibt:

  • Um was für einen Newsletter handelt es sich?
  • Worum geht es?
  • Wie oft wird der Newsletter verschickt?

Denke daran, dass Du für jeden Newsletter, den Du anbietest, auch separate Einwilligungen einholst.

Rechtliche Hinweise

Impressum & Abmeldelink sollten natürlich weiterhin in jedem Newsletter vorhanden sein, bei den meisten Email-Marketing-Diensten sind diese Daten automatisch enthalten.

Freebies und das Kopplungsverbot

Ist der Freebie denn nun tot? Denn in der DSGVO wird ja vom Kopplungsverbot gesprochen, d.h. man darf keine Daten sammeln, die nicht der Erfüllung des eigentlichen Zwecks dienen. Ein Ebook nur gegen die Herausgabe einer Emailadresse abzugeben, würde diesem Koppelungsverbot zuwiderhandeln. Eine Möglichkeit wäre es, den Spieß einfach umzudrehen und transparent zu sagen: „Trag Dich hier in meinen Newsletter ein. Als Dankeschön bekommst Du von mir XXX…“ Oder Freebies herauszugeben, die eine Emailadresse zur Ausführung erfordern, wie z.B. Emailkurse oder kostenlose Onlinekurse anzubieten.

Auftragsdatenverarbeitungsvertrag & Hinweise in der Datenschutzerklärung

Das gilt natürlich auch für Email-Marketing-Dienste.

Email-Marketing-Anbieter aus Nicht-EU Ländern

Darf ich nun keine Email-Marketing-Anbieter aus den USA mehr nutzen? Mit dem neuesten EuGH-Urteil: eigentlich nicht, aber verfalle trotzdem nicht in Panik! Auf jeden Fall solltest Du die obigen Punkte einhalten.

Auch ich nutze erstmal weiterhin ActiveCampaign und passe meine Einwilligungen und die Datenschutzerklärung an. Parallel sehe ich mich nach Alternativen um, aber bisher habe ich leider nichts adäquates finden können.

Falls Du bereits einen Anbieter aus den USA nutzt: Einwilligungen und Datenschutzerklärung checken. Falls Du noch keine Anbieter nutzt: hier lohnt es sich, gleich nach einem europäischen Anbieter Ausschau zu halten.

Links zum Thema:

Newsletter Datenschutz: Checkliste von Newsletter2Go | Sind Checkboxen erforderlich oder nicht? | Freebies DSGVO-konform anbieten | MailChimp, Newsletter und Datenschutz – Anleitung mit Muster und Checkliste

Lies auch den Gastbeitrag des Berufsverbandes der Rechtsjournalisten e.V. auf meinem Blog: Einfluss der DGSVO auf das E-Mail-Marketing – was ändert sich bei Newsletter und Co.?

DSGVO – Schritte zur Umsetzung

  1. Don’t Panic!
  2. Überlege Dir, an welchen Stellen du Daten Deiner Nutzer erhebst
  3. Lege ein Verarbeitungsverzeichnis an
  4. Schließe Verträge zur Auftragsdatenverarbeitung ab
  5. Überarbeite Deine Datenschutzerklärung
  6. Überarbeite Deine Formulare
  7. Checke Deine Newsletter & Freebies
  8. Bau einen Cookie Hinweis ein
  9. Checke Google Analytics, FB Pixel, Embeds & Co.
  10. Kümmere Dich um SSL Verschlüsselung
  11. Schließ Verschwiegenheitserklärungen mit Freelancern und VAs ab!

Die folgenden Links haben mir bei der Recherche sehr geholfen, deshalb möchte ich Sie Dir nicht vorenthalten:

Ein kleines Büchlein möchte ich Dir noch ans Herz legen, gibt es bei Amazon für 5,50 EUR: Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine: Das Sofortmaßnahmen-Paket vom Bayerischen Landesamt für Datenschutzaufsicht

Mittlerweile ist ein umfangreiches Buch erschienen von Christian Solmecke und Sibel Kocatepe von WBS Law mit dem Titel: DSGVO für Website Betreiber mit Mustervorlagen. Hier geht es zu DSGVO für Website-Betreiber bei Amazon

Empfehlenswerte Facebook-Gruppe zum Thema: Online Marketing Recht

DSGVO Leitfaden - DSGVO für Blogger und Websitebetreiber
Auf dem Laufenden bleiben

Trag Dich jetzt in meinen Newsletter ein und erhalte News, Tipps, Extra Content und Angebote zum Thema SEO, Content Marketing, WordPress und Online Business Aufbau!

Invalid email address
Ich versende meinen Newsletter 2-4 Mal im Monat. In jedem Newsletter hast Du die Möglichkeit, Dich wieder auszutragen. Deine Anmeldedaten, der Versand und statistische Auswertungen werden über ActiveCampaign in den USA verarbeitet. Hier findest du weitere Informationen zum Datenschutz.

142 Gedanken zu „DSGVO für Blogger und Websitebetreiber – das musst Du wissen!“

  1. Wow, Respekt. Da hat sich jemand richtig Arbeit gemacht und viel Wissen kommuniziert. Wie von Dir erwähnt sitzt Du aktuell an der Aktualisierung, weil in der Tat weniges so nicht mehr stimmig ist. Was mir aber neben dem sehr guten Content aufgefallen ist, dass Du keinen Hinweis zum Verarbeitungsverzeichnis gibst. Analog wäre ein Hinweis zur Seuche WhatsApp noch hilfreich. Aber alles in Allem mega cool .. Ich werde mir erlauben einen Link auf diese Seite setzen zu wollen. Kurze Info wäre nett…

    Antworten
    • Hallo Torsten,

      freut mich, dass Dir der Artikel gefallen hat! Stimmt, das Verarbeitungsverzeichnis ist etwas mager ausgefallen, das werde ich noch etwas erweitern bei der Aktualisierung. WhatsApp ist auf jeden Fall auch ein Thema, hier ging es vor allem darum, was auf der eigenen Website zu beachten ist. WhatsApp (und andere Messenger) wäre auf jeden Fall was für einen weiteren Artikel, genau wie Videokonferenzen über Zoom & Co.
      Verlinken darfst Du mich natürlich gerne ?

      LG Martina

      Antworten
  2. Hallo liebe Martina,
    vielen Dank für deinen wertvollen Blogartikel. Wow! Selten so einen tiefgründigen Artikel gefunden. Well done! Meinen Respekt!
    Ich habe ein großes Problem und hoffe, dass du mir einen Tipp geben kannst (ich wäre so dankbar!): Ich nutze Leadpages für meine neue Webseite, weil ich damit selbst einfach Gedanken umsetzen kann. Wie kann ich die Leadpages Webseite DSGVO konform machen? Ich nutze auch das Borlabs Cookie für meine alte Wordpress Seite, nur kann ich das nicht für Leadpages nutzen. Ich habe auch schon dem Support geschrieben und die wissen auch nicht weiter.
    Viele Online Marketer hier in Deutschland empfehlen Leadpages, aber nirgendwo finde ich, wie ich es DSGVO konform machen kann, so wie es das Borlabs Cookie tut.
    Der Support von Leadpages hat geschrieben: „I know for sure that you can’t install a plugin in our HTML widget, but the people that make the plugin might have another tool to allow you to install their tool on non-WordPress sites.“
    Kennst du ein anderes Tool? Da so viele Leadpages nutzen, bin ich mir sicher, dass das ein sehr erfolgreicher neuer Blogartikel sein könnte, wenn du für diese Frage eine Lösung hättest…
    Ich danke dir von Herzen!
    Viele liebe Grüße
    Constanze

    Antworten
    • Hallo liebe Constanze,

      Freut mich, dass Dir mein Artikel gefallen hat!
      Mit Leadpages kenne ich mich leider nicht aus und ich weiß auch nicht, ob es ein ähnliches Tool dafür gibt wie Borlabs. Wo Du hier aufpassen müsstest, wäre vor allem das Tracking – falls Du Google Analytics oder Facebook Pixel einsetzt, brauchst Du auf jeden Fall ein Cookie Optin. Hier könntest Du stattdessen cookieloses Tracking nutzen, beispielsweise mit Matomo oder eTracker. Falls Du YouTube Videos einbindest, auf jeden Fall die Nocookie-Option nutzen und bei Deinem Email-Marketing-System auf Double-Optin achten.
      100% DSGVO-konform wirst Du mit Leadpages allerdings nie sein, da Leadpages in den USA sitzt und er EuGH ja nun das Privacy Shield als unzulässig erklärt hat.

      Alternative wäre, die Seite mit WordPress zu betreiben und zum Erstellen der Landingpages einen Pagebuilder wie Thrive Architect oder Elementor zu verwenden.

      LG Martina

      Antworten
  3. wow !!! sehr hilfreicher Beitrag vielen Dank.
    Warum hast du dich für erecht24 entschieden und nicht für Dr. Schwenke oder Anwaltskanzlei Weiß & Partner?

    Antworten
    • Gerne!
      Ich hatte mich für erecht24 entschieden, weil ich viele eigene Websites betreibe und auch weil ich zu dem Zeitpunkt noch meine Webagentur hatte und Kundenseiten betreut habe. Da wäre eine separate Lizenz für alle Websites wie bei Dr. Schwenke sehr ins Geld gegangen. Nichtsdestotrotz ist der Generator von Dr. Schwenke sehr zu empfehlen und für Betreiber weniger Webpräsenzen ist das Preismodell auch interessanter als erecht24 – wenn es nur um den Datenschutzgenerator geht, zumal er auch ein wenig umfangreicher ist. Am Generator von Weiß & Partner ist auch nichts auszusetzen, als ich mich für erecht24 entschieden hatte, war er noch nicht so umfangreich wie jetzt – durchaus also eine sehr günstige Alternative, wenn es rein um die Datenschutzerklärung geht.
      LG Martina

      Antworten
  4. Meinen Dank an die Autorin. Das ist mal so richtig Arbeit gewesen. Ich bin total durch den Wind und werde mir wohl den Rest des Monats Zeit nehmen müssen, um das alles zu sortieren.
    Bei den Recherchen zum Thema bin ich über Prive.eu gestolpert. Der Service wird auch von Erecht24 empfohlen. Doch kann ich den Dienst nicht so recht einordnen.
    Hat da schon jemand Erfahrungen gesammelt?

    Antworten
  5. Nach dem EuGH-Urteil habe ich mich jetzt auch nochmal mit dem Thema beschäftigt und muss sagen, es ist zwar ein nerviges Thema für mich als Online Marketer, es ist aber bei weitem nicht so schlimm, wie es im ersten Moment aussieht.

    Habe mich daher auch selber an das Thema begeben und einen Guide geschrieben, welcher gerade für WordPress ausgelegt ist.

    Da ich selber zwei Tage an so einem Artikel geschrieben habe, weiß ich wie viel Arbeit du in diesen Artikel gesteckt haben musst.

    Gruß
    Wolf

    Antworten
  6. Kann es sein, dass es auch nicht ganz unproblematisch ist, wenn man „nur“ einen statischen Link zu Facebook auf seine Webseite einbindet?

    Ist es möglich, dass Facebook bereits Nutzerdaten oder sein Verhalten auslesen kann, wenn der Nutzer in seinem Facebook-Account zu dieser Zeit bereits angemeldet war?

    Müsste der Nutzer bevor er von meiner Webseite auf Facebook gelangt, erstmal abgemeldet werden?

    Vielen Dank an alle, die hier nützliche Hinweise haben.

    Antworten
    • Hallo Stefan,

      einen Link sehe ich als unproblematisch, da Facebook erst dann Daten von meinem Nutzer bekommt, wenn er aktiv auf den Link klickt. Bei der Nutzung von Facebook-Plugins sieht das natürlich ganz anders aus. In dem Moment, wo ich beispielsweise eine Like Box auf der Seite eingebunden habe, dann kann Facebook Daten auslesen.

      LG Martina

      Antworten
    • Hallo Hans,

      ich kenne Leitz Cloud leider nicht, aber laut Angaben des Anbieters scheint es ja DSGVO-konform zu sein. Im Zweifelsfall den Anbieter fragen.

      LG Martina

      Antworten
  7. Hallo Martina,

    vielen Dank für deinen interessanten Artikel. Die DSGVO ist echt ein mühsames Thema…
    Mich beschäftigt das Thema Karteneinbindung und da es mit Google Maps zusehens komplizierter wird (auch mit API, Hinterlegung von Kreditkartendaten etc.) dachte ich dass Open Street Map eine Lösung wäre. Weißt du, wie das datenschutzrechtlich hier aussieht bzw. wie man diese konform einbauen kann? Wäre das eine Alternative?

    Und noch eine kleine Anmerkung zu deinen Blog-Kommentaren – ich denke es wäre irgendwie userfreundlicher, wenn die neuesten Kommentare ganz oben wären, und auch das Kommentarformular für neue Kommentare nochmal darüber angesiedelt wäre… Aber vielleicht auch nur eine persönliche Vorliebe… 😉
    LG Tanja

    Antworten
    • Hallo Tanja,

      Gerne! Zu Deiner Frage: Bei Open Street Map hast Du m.E. ein ähnliches Problem wie mit Google Maps – auch hier werden Inhalte von extern geladen (IP Adressen werden ggf. übertragen) und Du solltest zumindest in Deiner Datenschutzerklärung darauf hinweisen.
      Sofern Du Open Street Map mittels iframe einbindest, ist Borlabs Cookie eine brauchbare Lösung.

      Danke für Dein Feedback! Stimmt, bei einer so großen Anzahl an Kommentaren macht das auf jeden Fall Sinn! Habe es mir als Anregung genommen und entsprechend umgestellt.

      LG Martina

      Antworten
  8. Hallo,
    eigentlich ist es doch nun so das Social Plug-Ins wie die von Facebook und Co. garnicht Datenschutzkonform sind (bis zum jetzigen Stand) sind nun die auf dieser Webseite eingebetteten Social Plug-Ins nun legal oder nicht?
    Schließlich hab ich weder in eine Datenweitergabe eingewilligt noch wurde ich über eine Datenweitergabe informiert.

    Ich bedanke mich im Voraus für eine schnelle Antwort.

    LG

    Antworten
    • Hallo,

      diese Seite verwendet an Social Plugins ausschließlich das datenschutzkonforme Plugin Shariff Wrapper (Sharing Buttons auf den Blogbeiträgen), bei dem Daten erst übertragen werden, wenn der Nutzer AKTIV auf einen Button klickt. Bei den Buttons in der Sidebar und im Footer handelt es sich um einfache Links, auch hier werden nur beim aktiven Klick Daten übertragen. Die dazugehörigen Buttons werden mit der Schriftart Font Awesome dargestellt, die lokal auf dem Webserver installiert ist.

      LG Martina

      Antworten
  9. da ich derzeit Urlaub und Zeit dafür habe, dachte ich mir, ich richte meinen Blog DSGVO-freundlich ein. Gesagt, getan. Ich bin auch sehr über deinen Beitrag dazu froh!

    Besten Dank dafür und ein schönes Wochenende

    Antworten
  10. Herzlichen Dank für diesen ausführlichen Artikel. Dennoch wirft er für mich nun eine weitere Frage auf. Anderswo (etwa hier: https://regina-stoiber.com/2018/04/12/wann-handelt-es-sich-um-einen-auftragsverarbeiter-auftragsdatenverarbeiter-dsgvo/ ) heißt es, dass mit dem Mail-Provider kein Vertrag zur Auftragesdatenverarbeitung abgeschlossen werden müsse. Sogar mein Mail-Provider selbst (1&1) hat mir das gesagt. Hier lese ich nun Gegenteiliges.

    Was ist nun richtig?

    LG Anna

    Antworten
    • Hallo Anna,

      danke für Deinen Kommentar und den Hinweis. Das ist natürlich richtig, sofern nur der reine Emaildienst genutzt wird. Ich habe es entsprechend geändert. In der Regel benötigst Du hier keinen AV-Vertrag, sofern der Emaildienst nur zur reinen Nachrichtenübermittlung genutzt wird. Demnach wäre der Email-Dienstleister ein reiner TK-Dienstleister. Sollten jedoch weitere Dienste genutzt werden, kann es nötig sein, AV-Verträge abzuschließen (z.B. Google Drive). Reine Email-Anbieter benötigen demnach keinen AV-Vertrag, sollten aber im Verarbeitungsverzeichnis aufgeführt sein. Bei Email-Marketing-Systemen wie Mailchimp, ActiveCampaign etc. ist natürlich ein AV-Vertrag nötig.

      LG Martina

      Antworten
      • Super. Vielen herzlichenDank für die Antwort. Wenigstens ein Punkt, der sicher abgehakt ist. 😉

        Vielleicht kannst du mir auch meine dringendste Frage beantworten, die mich gerade umtreibt – bisher wollte das nämlich niemand machen. Ist es möglich, auf wordpress.com DSGVO-konform zu bloggen? Kommentarfunktion gibt es nicht, Kontaktformular oder Sharing-Buttons auch nicht. Es ist quasi alles abgeschaltet, was ich abschalten kann, sogar Aksimet. Aber da bliebe eben wordpress.com-Stats. Darauf habe ich keinen Einfluss, nicht mal nach einem Upgrade von der Free- auf die persönliche Version.

        Was nun? Darauf hoffen, dass man, wenn sonst alles korrekt ist, mit einem blauen Auge davon kommt? (Das wäre mein Plan A, weil ich derzeit nicht selbst hosten kann und mag.)

        Liebe Grüße,
        Anna

        Antworten
        • Hallo liebe Anna,

          ich kann Dir diese Frage leider auch nicht beantworten 🙁 Die WordPress.com Stats sind leider meiner Meinung nach immer noch nicht ganz DSGVO-konform. Problematisch sehe ich, dass sich die IP Adressen nicht anonymisieren lassen.

          Liebe Grüße
          Martina

          Antworten
  11. Hallo Martine,

    danke für diesen umfangreichen Artikel und die Beantwortung der ganzen Fragen. Das hat für mich noch einmal einige Unklarheiten beseitigt. Vielen Dank!

    Antworten
  12. Hallo Martina,

    Vielen Dank für deinen Artikel.
    Eine Frage habe ich allerding schon noch. Ich habe einen persönlichen Blog auf Facebook (Präsentation genähter Sachen). Es wird nichts gewerblich angeboten oder sonstiges.
    Muss ich da auch die ganzen Vorgaben beachten?

    Viele Grüße
    Anna

    Antworten
    • Hallo Anna,

      Du meinst eine rein private Fanseite bzw. Profil? Wenn sie rein privat (Profil) ist, dann betrifft Dich die DSGVO nicht. Was anderes wäre es, wenn Du z.B. Affiliate-Programme bewirbst (auch wenn die keinen Umsatz machen) oder Du von Firmen kostenlos Produkte zur Verfügung gestellt bekommst, um sie auf der Seite zu promoten. Wenn Du aber beruflich Näherin bist und Du gewinnst über die Präsentation der Artikel Kunden, sieht es womöglich wieder anders aus.

      Viele Grüße
      Martina

      Antworten
      • Hallo Martina,

        Vielen Dank für deine Hilfe.
        Genau, es ist eine rein private Fanpage (eingestuft als persönlicher Blog). Ich bekomme keine Produkte zur Verfügung gestellt und mit Affiliate-Programmen mach ich auch nix. Ich teile auf dieser Seite mein Hobby mit anderen. Also ich nähe weder Hauptberuflich, noch als Nebenerwerb.

        Antworten
        • Gerne! Womöglich musst Du aber auch bei einer privaten Fanpage einen Datenschutzhinweis einfügen. Ganz unproblematisch ist lediglich das private Profil. Schau mal hier im Artikel von Dr. Schwenke: https://allfacebook.de/policy/eugh-urteil

          Gilt das Urteil auch für Privatpersonen?
          Ja, das Datenschutzrecht unterscheidet grundsätzlich nicht zwischen Privatpersonen oder Unternehmen.
          Nur bei „ausschließlich persönlichen und familiären Tätigkeiten“, kommt das Datenschutzrecht nicht zur Anwendung. Das kann jedoch nur für persönliche Facebook-Profile angenommen werden, die sich nur an Freunde und Familie richten (wobei manche Juristen das verneinen und damit auch bei diesen Profilen eine Mithaftung gegeben wäre).
          Allerdings sind bei Privatpersonen die Risiken weitaus geringer als bei Unternehmen. Privatpersonen können nicht von Mitbewerbern abgemahnt werden und stehen auch nicht im Fokus behördlicher Maßnahmen. Abmahnung durch andere Personen (z.B. Websitebesucher) bleiben jedoch weiterhin möglich.“

          Sabrina Keese-Haufs von Lawlikes hat eine kostenlose Vorlage für Fanpages und Gruppen zur Verfügung gestellt: https://lawlikes.de/fbdse/

          Liebe Grüße
          Martina

          Antworten
  13. Hallo Martina,
    zunächst einmal vielen Dank für Deine weitrechenden Informationen.

    Ich habe hierzu ein paar Fragen.

    Wie verhält sich bezogen auf die DSGVO das verschicken genereller Angebote per E-Mail.
    Ich bin Immobilienmakler und versende teilweise einzelne Exposés an bestimmte Kunden oder Interessenten, die anhand ihres Suchprofils für diese bestimmten Objekte infrage kämen. Gilt eine solche E-Mail ebenfalls als „Newsletter“ oder wie ist eine solche E-Mail zuzuordnen? Benötigen ich hier ebenfalls Einwilligungen um solche Angebote versenden zu dürfen? Muss eine solche E-Mail mit einem Einzelangebot ebenfalls wie bei einem Newsletter einen Button zwecks „Abmeldung“ beinhalten? Auf den jeweiligen Homepages großer Investoren stehen z.B. Ankaufsprofile mit der Aufforderung, Exposés mit Objekten gerne an das Unternehmen per E-Mail zu senden (Investoren sind auf die Angebote der Makler angewiesen). Hier besteht aus meiner Sicht eine klare Aufforderung der Zusendung vor. Benötigt man hier trotzdem vorab eine Einwilligung bezüglich der Datenspeicherung? Des Weiteren habe ich gelesen, dass ich bei juristischen Personen (GmbH, AG, GbR etc.) keine Einwilligung benötige. Stimmt das? Denn wie verhält es sich bei den E-Mailadressen einzelner Mitarbeiter einer z.B. großen GmbH oder AG? Beispielhaft mueller oder schmidt@telekom.de bezogen auf deren personenbezogene Daten? Ist es dann personenbezogen oder vertritt dieser Mitarbeiter die juristische GmbH oder AG und ich benötige keine Einwilligung?
    Gibt es eigentlich einen Datenschutzgenerator um eine normale allgemeine Datenschutzerklärung zu generieren, der nicht auf eine Homepage bezogen ist?

    Dankeschön für Deine Hilfe und Meinung.

    Beste Grüße

    Steffen

    Antworten
    • Hallo Steffen,

      ich versuche mal einige Deiner Fragen zu beantworten. Allerdings werde ich Dir da leider nicht viel helfen können, da ich keine Juristin bin.
      Also zunächst einmal zur juristischen Person: sofern es sich um Mailadressen wie info@gmbh.de handelt, würde ich sagen Du brauchst keine. Allerdings wenn konkrete Namen/Mailadressen von Mitarbeitern vorliegen, wären das ja personenbezogene Daten.
      Zu den Exposés: Wie läuft das bei Euch ab? Sind die Interessenten auf Deinem Portal registriert? Meiner Meinung nach könnte das unter Art. 6 lit. b) Vertragserfüllung fallen. Du musst ja ihre Daten verarbeiten, um den Vertrag zu erfüllen.
      Bei den Investoren würde ich auch von Vertragserfüllung bzw. -anbahnung ausgehen.
      Einen solchen Datenschutzgenerator kenne ich nicht, aber die gängigen Generatoren enthalten ja auch allgemeinen Hinweise zu verantwortlicher Stelle, Informationspflichten, Betroffenenrechten etc.
      Genaueres kann Dir aber wohl nur ein Anwalt sagen.

      LG Martina

      Antworten
  14. Hallo Martina, danke für den guten Artikel. Insbesonders der Tip mit dem „cookie-JAVA-Script“ von Cookie consent by Insites“ schien hilfreich: Das Script für den Cookiebanner war auf deren Seite schnell erstellt.
    Doch dann schreibst Du: „baust das Script einfach in den -bereich deiner Seite ein …“ Mir ist nicht klar, wo und wie ich das in meinem DIVI-Childtheme mache. Wird das Script einfach bei „Benutzerdefiniertes CSS“ eingefügt??? Da steht ja schon einiges drin – davor? Dahinter? Oder gar woanders…?
    Hast Du da einen Tip?
    Danke + Gruß Friedrich

    Antworten
    • Hallo Friedrich,

      danke für Dein Feedback! 🙂
      Nein, der Code kommt nicht ins CSS, sondern direkt in den Head-Bereich Deines Themes.
      Bei DIVI geht das recht einfach: Divi -> Theme-Optionen -> Integration -> Code dem Ihres Blogs hinzufügen
      (Header Code muss aktiviert sein).

      LG Martina

      Antworten
  15. Hallo Martina,
    ein Tag vor der DSGVO :O hast du etwas zu Yahoo noch herausgefunden bzgl. AV?
    Welchen E-Mail Anbieter kannst du empfehlen, der unkompliziert einen AV bietet? Oder ist die beste Lösung über den Website Hoster?

    Antworten
    • Hallo Veronika,

      zu Yahoo habe ich nichts weiter herausgefunden. Als Alternative der Webhoster oder, wie vor kurzem hier auch in einem Kommentar gepostet wurde: https://mailbox.org/ Bei den Freemail Anbietern dürfte es schwierig werden, da diese sich ja eher an Privatkunden richten.

      LG Martina

      Antworten
  16. Hallo,

    lieben Dank für die vielen tollen Tipps bzgl. DSGVO und die Umsetzung der Verordnung 🙂
    Ich habe eine Frage dazu, da ich die Information hier nicht finden konnte: wenn man bspw. als Verein neben seiner Homepage noch eine Facebookseite betreibt, auf der regelmäßig über anstehende Feste und Veranstaltungen des Vereins informiert wird – was muss ich wie und wo tun, um den FB Auftritt DSGVO konform zu gestalten? Das habe ich als Info hier vermisst. 🙂

    Lieben Dank und viele Grüße

    Antworten
    • Hallo Angelika!

      Erstmal vielen Dank für Dein tolles Feedback! Zu Deiner Frage: das ist wieder ein Thema für sich 🙂 Hier ging es vor allem erstmal um die Website, weil das mein Spezialgebiet ist.
      Aber da ich auch Vorstandsmitglied in einem Verein bin, befasse ich mich auch ein wenig mit dem Thema 😉 Bei der Facebook Seite würde ich darauf achten, dass Impressum und Datenschutzerklärung verlinkt sind (FB hat neuerdings unter Info einen Reiter, in dem man die Datenschutzerklärung verlinken kann). Auf der Homepage im Impressum und der DSE dann schreiben, dass die auch für FB gelten (siehe bei mir hier auf der Seite).
      Bei Bildern von Veranstaltungen würde ich mir die Einwilligungen der Mitglieder holen, die abgebildet sind (BEVOR das Bild online geht) und bei Minderjährigen die Einwilligungen BEIDER Eltern (bei Minderjährigen ist das sowieso ein heißes Thema). Und auch wenn ich einem Mitglied zum Geburtstag gratulieren möchte, würde ich das auf der öffentlichen FB Seite nur mit Einwilligung des Mitglieds tun – ansonsten lieber eine Mail oder eine Karte per Post schicken 😉
      Und wie immer der Hinweis: das ist natürlich keine Rechtsberatung 😉

      LG Martina

      Antworten
  17. Hallo,

    Ich habe einen instagram Account, wo ich auch Bilder poste, die von anderen Fotografen kommen. Erwarten mich da auch Konsequenzen? Ich möchte diese Seite auch ungern löschen. Ich habe sie auch schon auf privat gestellt. Könnte mich trotzdem was erwarten?

    Antworten
    • Hallo Jessi,

      das betrifft jetzt weniger die DSGVO als mehr das Urheberrecht. Du solltest natürlich nur solche Bilder posten, bei denen Du auch sicher sein kannst, wer der Urheber ist und wo Du eine Erlaubnis hast, diese zu nutzen.

      LG Martina

      Antworten
  18. Hallo Martina,

    sehr gute Zusammenstellung und nicht unbedingt üblich, das frei darzulegen, top!
    Ich bin interner DSB eines IT-Unternehmens, wenn Du Fragen hast, kannst Du Dich gerne melden (auch hier natürlich, ich bin keine Rechtsberatung).

    Gruß
    Rüdiger Grimm

    Antworten
  19. Hallo Martina,

    vielen Dank für diesen tollen Beitrag, dieser ist sehr hilfreich!
    Ich hätte allerdings noch eine Frage und finde hierfür leider nirgends Info online.
    Vielleicht kannst du ja helfen.
    Man muss ja mit allen Anbietern, mit denen man zusammen arbeitet, einen AV bzw. einen ADV Vertrag abschließen. Die meisten die ich nutze konnte ich bereits kontaktieren. Mein großes Problem ist aber Yahoo. Ich nutze Yahoo für meinen Email Vekehr und ich finde einfach keine Kondaktinformation oder Infos zu den Verträgen. Hast du da Erfahrung oder Ideen?

    liebe Grüße Saskia

    Antworten
    • Hallo Saskia,

      Danke für dein Lob, freut mich, dass ich helfen konnte! :-.) Zu Yahoo weiß ich leider auch nichts. Bei Free Mail Anbietern ist es in der Regel schwierig denke ich. Bei Gmail beispielsweise gibt es nur im Business Account einen AV Vertrag und GMX bietet gar keinen an. Ggf. Yahoo nur noch für private Mails nutzen und für geschäftliche Mails einen anderen Dienst bzw. eine eigene Emailadresse, die an die eigne Domain gekoppelt ist (dann bräuchtest Du einen AV mit dem Hoster).

      LG Martina

      Antworten
  20. DANKE, DANKE, DANKE.
    Einfach nur Spitze. Genau das habe ich gebraucht – nochmal DANKE, so eine Zusammenstellung kostet ja jede Menge Mühe!
    Eine Frage hätte ich noch: Viele (meist zu kaufende) Themes in Wordpress bieten Icons an (diverse, jenseits der Emojis). Diese werden ja überall für Feature-Auflistungen (u.a.) eingesetzt. Das ist nach meinem Verständnis auch nicht mehr ok, da sie einer Schrift entstammen, die aus dem Netz geladen wird? Also Dritter im Hintergrund? Hmmm… also müsste ich das runterladen und manuell einbinden? Was sagst du generell zu den Google Fonts? (oder hab ich da was überlesen…dann bitte ein kurzer Hinweis, wo es war…).
    Liebe Grüße
    Anja

    Antworten
    • Hallo Anja,

      danke für dein Lob!
      Zum Thema Google Fonts hast Du recht: da bin ich in diesem Artikel gar nicht so explizit darauf eingegangen. Muss es noch einmal nachpflegen. Dafür gilt das gleiche wie für YouTube Videos etc., da hier auch externe Inhalte eingebunden werden.
      Für Icon Fonts gilt das gleiche wie für Google Fonts: auch diese übertragen Daten (IP Adresse). Sie können i.d.R. genauso lokal eingebunden werden wie Google Fonts. Bei manchen Themes und Pagebuildern ist es aber teilweise gar nicht so einfach, das lokal zu lösen, in diesem Fall würde ich zumindest einen Hinweis in die Datenschutzerklärung aufnehmen.

      Liebe Grüße
      Martina

      Antworten
    • Hallo,

      Kommentare sind ja weiterhin erlaubt. Du solltest hier auf jeden Fall schauen, dass Du entweder die IP Adressen von vornherein nicht speicherst oder begründest, warum Du sie doch für einen bestimmten Zeitraum speicherst (Anti-Spam-Schutz, rechtsverletzende Inhalte etc.). Ein Hinweis bei den Kommentaren auf die Datenschutzerklärung, und die Kommentarfunktion in die Datenschutzerklärung mit aufnehmen. Gravatar deaktivieren und SSL einrichten (kein Formular ohne SSL!).
      Aber wenn Kommentare auf Deiner Seite eh nicht so wichtig sind, ist die (vorläufige) Deaktivierung natürlich auch eine Option. Mir sind sie z.B. hier auf der Seite wichtig, auf anderen Seiten (wie z.B. unserer Vereinshomepage) habe ich sie von jeher abgeschaltet (spart natürlich auch den Aufwand für die Moderation 😉 )

      LG Martin

      Antworten
  21. hallo Martina,
    danke für deine Erkenntnisse, welche du mit uns teilst 🙂

    Das Social Sharing & Social Plugin „Mashshare“ ist ebenfalls DSGVO konform:

    Zitat:
    „Does this plugin sends any personal user data to you or to Facebook, Twitter etc.?
    No, there is no personal data send to Facebook, Twitter, Google and other services. There is also no data which goes to my hands that includes any IP or other data. The big advantage of using this Mashare Share buttons is the independance in comparision to other plugins which creates steady connections to Facebook and Co. So there is no IP based data send to the social networks or to sharedcount.com.“
    Zitat Ende.

    Zu finden hier: https://de.wordpress.org/plugins/mashsharer/

    Besten Gruß,
    Bernd

    Antworten
    • Hallo Bernd,

      gerne! Das Plugin schaue ich mir mal an, danke für den Hinweis!
      Ich denke, da wird jetzt auch der ein oder andere Plugin-Entwickler nachziehen 🙂

      LG Martina

      Antworten
      • Hallo Bernd,

        ich habe mir das Plugin mal angeschaut. Der Entwickler sagt zwar, es werden keine Daten übertragen, allerdings lädt das Plugin den Facebook Social Graph, wodurch doch Daten übertragen werden. Ist also derzeit nicht zu empfehlen.

        LG Martina

        Antworten
  22. Hallo Martina,

    wir wollen für unsere Firma bald einen Instagram-Account erstellen. Wenn wir kein Kontaktformular auf der Seite einrichten, keine iFrames nutzen und nichts tracken – was müssen wir beachten? Kommentarfunktionen und direct message wollen wir ebenfalls nicht nutzen, also von Vornherein abschalten.

    Es wird ja auch öfter von dem „Eiffelturm-Beispiel“ gesprochen, dass nur bestimmte Inhalte gepostet werden dürfen. Was müssen wir denn zu den geteilten Inhalten beachten? Wir werden keine Personen posten.
    Hast Du Quellen für mich, wo ich dazu Genaueres lesen kann?
    Danke für Deine Hilfe und liebe Grüße
    Lisa

    Antworten
  23. Hallo Martina,

    erst einmal vielen Dank für den super ausführlichen und interessanten Artikel.

    Wieso ist der Abschnitt bzgl. der Aktivierung / Zustimmung für die Abgabe eines Kommentars gestrichen? Ist das nicht mehr aktuell oder?

    Viele Grüße.

    Sven 🙂

    Antworten
    • Hallo Sven,

      das hatte ich gestrichen wegen der Checkboxen, weil die nicht unbedingt erforderlich sind. Werde es vielleicht nochmal etwas anders schreiben, evtl. ist das sonst zu missverständlich so…

      LG Martina

      Antworten
      • Liebe Martina,

        darf ich noch einmal nachfragen, ob diese Checkboxen bei der Eingabe eines Kommentars erforderlich sind oder nicht? Ganz herzlichen Dank, auch für diese so unglaublich nützliche Übersicht!

        Antworten
        • Hallo Okka,

          Sehr gerne. Danke für dein Lob! Checkboxen sind eigentlich keine Pflicht in der DSGVO. Es muss nur ein Hinweis auf die Datenschutzerklärung dazu. Manche Anwälte empfehlen allerdings eine Checkbox (z.B. erecht24), andere raten davon ab (z.B. siehe hier: https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/)
          Wer auf Nummer sicher gehen will, baut eine Checkbox ein. Allerdings macht das WP seit dem Update auf 4.9.6 nun auch automatisch. Ich habe noch dazu einen Link zur Datenschutzerklärung in die Nähe des Formulars gepackt.

          LG Martina

          Antworten
  24. hallo martina,
    vielen vielen dank erstmal für deine infos
    Hallo martina,

    ich habe vor einigen jahren webseiten für freunde gestaltet, fast ausschließlich künstler, die ihre arbeiten präsentieren und für eine befreundete firma.
    die seiten arbeiten ohne datenbanken, haben keine cookies, kein kontaktformular, kommentarmöglichkeiten, newsletter usw. – es werden keine personenbezogenen daten abgefragt , sind im ganz einfachen html geschrieben – es wurde nie eine ssl verschlüsselung bei einem server beantragt.
    bei der firmenhomepage sind lediglich über kleine grafiken links zu google +, facebook und einem onlineshop gesetzt (weiterleitung).

    jetzt muss ich die datenschutzerklärungen für diese webseiten neu formulieren
    die webseiten liegen bei verschieden hostern bzw. auf verschiedenen servern

    meine fragen :

    1.
    ip_adresse ..
    müssen jetzt mit den verschiedenen hostern vertraege zur Auftragsdatenverarbeitung geschlossen werden oder reicht eine einfache erklärung „Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log Files….“ in der datenschutzerklärung mit dem verweis der rechte des betroffenen/users zu Auskunft, Löschung, Sperrung dieser daten?
    2.
    email ..
    muss in der DSGVO auf eingehende emailanfragen von nutzern eingegangen werden? -die internetauftritte haben kein kontaktformular – ich meine lediglich den fall, wie bei eingehenden eamil-anfragen mit daten umgegangen wird —
    das betrifft die webseite für die firma aber auch evtl. die künstlerseiten

    3. wie ist das mit der verlinkung zu facebook und google+ (keine plugins)–
    das sind jeweils nur weiterleitungen – muss ich in der datenschutzerklärung darauf eingegegangen werden?

    Über eine antwort würde ich mich sehr freuen – habe gestern erst angefangen mich mit dem thema zu beschäftigen,
    lg karsten

    Antworten
    • Hallo Karsten,

      zu Deinen Fragen:
      1) Ja da brauchst Du beides – Datenschutzerklärung und AV-Vertrag mit Hoster. Denn auch auf einfachen HTML-Seiten ohne Cookies und ohne Tracker werden personenbezogene Daten übertragen – nämlich die IP Adresse.
      2) Ja, dafür hast Du ja den allgemeinen Passus zur Kontaktaufnahme. Schau Dir mal den Generator von Dr Schwenke dazu an: https://datenschutz-generator.de/ Abschnitt „Registrierung, Kontakt, Blogs“
      3) Dr. Schwenke geht in seinem Generator im Abschnitt „Social Media, Tools und fremde Inhalte“ kurz darauf ein. Du brauchst aber jetzt nicht jeden Link in die Datenschutzerklärung mit aufnehmen.

      Wenn keine Formulare auf der Seite sind, brauchst Du im Prinzip auch kein SSL – nur ohne SSL keine Formulare 🙂

      Wie immer mein Disclaimer: Das stellt jetzt natürlich keine Rechtsberatung dar 😉

      LG Martina

      Antworten
  25. Wow, meine Lebensretterin! Vielen Dank für diesen super guten Artikel. Solch eine brauchbare Zusammenfassung habe ich bisher noch nicht gefunden. Da habe ich am Wochenende noch was zu tun.

    LG Wendy

    Antworten
  26. Vielen Dank für die zahlreichen und hilfreichen Infos!
    Zu Google Analytics habe ich auf anderen Seiten gelesen, dass der Dienst ab dem 25. Mai nur noch nach Opt-In verwendet werden darf (Positionspapier über die weitere Anwendbarkeit des Telemediengesetzes durch die „Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz)“ von Ende April 2018). Ist das so bzw. weißt Du mehr darüber? Das wäre ja das Ende von Google Analytics, denn wer setzt schon freiwillig einen Haken bei „Ja, ich möchte von Google Analytics getrackt werden“. Und wie ist es bei anderen Statistik-Tools wie z.B. AWStats oder Piwik, welche das access.log des Providers auswerten? Auch nur noch nach Opt-In einsetzbar?
    Habe eben noch zu Google AdSense recherchiert, auch hier scheint es, als ob Werbeanzeigen nur noch nach Opt-In – also mit Zustimmung des Users – geschaltet werden dürfen. Da dürften die Erlöse über Google AdSense ganz schön einbrechen…

    Antworten
    • Hallo Frank!

      Danke für das Lob! Schau mal, zu Google Analytics habe ich tatsächlich gerade einen neuen Blogartikel verfasst. Ich würde jetzt zwar sagen, dass es durchaus einen Unterschied zwischen Piwik und Analytics gibt, da man Piwik ja auch ohne Cookies nutzen kann. Wird allerdings Piwik mit Cookies genutzt, würde ich sagen, ja, besser Opt-In. AWStats oder Webalizer kommen ohne Cookies aus, hier sollten ggf. beim Hoster die IP Adressen anonymisiert werden. Aber ohne Cookies ist auch kein Cookie Opt-In nötig. Ich werde jedenfalls eine Optin-Lösung implementieren (Borlabs Cookie oder WP DSGVO Tools, das ich ja schon auf einer anderen Seite einsetze).
      Ja, mit AdSense schauts echt übel aus…

      LG Martina

      Antworten
  27. Liebe Martina,

    Vielen Dank für diese ausfürhrlichen Infos – vor allem die Erklärung für Youtube fand ich sehr hilfreich!
    Was mich aktuell noch beschäftigt ist Instagram. Ich habe ein „normales“ Instagram-Widget bei mir eingebunden, was nur statische Bilder anzeigt (kein iframe o.ä.), aber es lädt eben die Bildern von Instagrams CDN dynamisch, wobei die IP-Adresse übertragen wird.
    Darf ich die noch verwenden, wenn ich es in der Datenschutzerklärung deutlich mache oder müssen die Widgets erstmal raus?

    Danke dir!

    Liebe Grüße,
    Julie

    Antworten
    • Hallo Julie,

      Danke für Deinen lieben Kommentar! Was ist das für ein Widget? Falls wirklich nur die Bilder übertragen werden, sehe ich hier rein technisch keinen Unterschied zu der No-Cookie-Variante von YouTube oder dem Laden von Google Fonts. Ich würde auf jeden Fall in der Datenschutzerklärung darauf hinweisen.

      Liebe Grüße
      Martina

      Antworten
  28. Hallo Martina,
    über XING bin ich zu Deinen Informationen gekommen – dafür erstmal herzlichen Dank für die detaillierten Ausführungen!!! Leider verstehe ich sehr viele technische Begriffe nicht, mir ‚raucht‘ der Kopf davon und katapultiert mich fast in die Verzweiflung!! Daß ich eine Datenschutzerklärung auf meiner website, und von allen Unterseiten erreichbar, haben muß, hab ich verstenden (danke!), aber in welcher Ausführlichkeit? Den Verarbeitungsvertrag mit meinem webhoster, ssl-Verschlüsselung ist gemacht.Meine einfache website als Schauspielerin hat aber weder Kontaktformular noch Newsletter, ich verwende auch keine cookies (?) meines Wissens, ich verkaufe nichts, noch speichere ich irgendwelche Daten meiner Besucher. Die sind ja dann durch mein webhostervertrag geschützt. Da muß ich doch nicht so ellenlange Erklärungen abgeben? Kann man diese selbst formulieren, oder ist es besser, was vorgefertigtes, standartisiertes zu verwenden? Von Dr. Schwenke hab ich sie gelesen, aber das trifft in der Ausführlichkeit garnicht auf meine website zu? Ich bin ja nicht mal ein kleinunternehmer? Ich habe Angst, durch meine Unkenntnis den Abmahnanwälten ausgeliefert zu sein… Für eine Antwort wäre ich sehr dankbar! LG Margarete

    Antworten
    • Liebe Margarete,

      also wenn es sich bei der Website um die von Dir hier im Kommentar verlinkte handelt, dann brauchst Du tatsächlich nicht viele Angaben zu machen. Denn außer Logfiles vom Hoster wird hier nichts an personenbezogenen Daten erhoben. Auf die solltest Du aber hinweisen. Da es eine rein statische Website ist, die wirklich nichts von externen Quellen lädt, werden hier weder Daten an andere übertragen noch Cookies gesetzt. Im Prinzip brauchst Du für diese Seite nicht mal SSL. Da Du die Verschlüsselung nun aber schon gebucht hast, würde ich dafür sorgen, dass SSL erzwungen wird, wenn die Seite aufgerufen wird. Sonst ist Deine Seite unter 2 verschiedenen URLs erreichbar (verschlüsselt und unverschlüsselt), das mag Google nicht. Frag mal Deinen Hoster, ob er Dir das einrichten kann.
      In eine Datenschutzerklärung sollte u.a. immer rein:
      – der Verantwortliche (also in dem Fall du)
      – Rechtsbelehrung
      – welche Vorgänge finden auf welcher Rechtsgrundlage statt?
      – wie lange werden die Daten gespeichert?
      – werden die Daten an Dritte weitergegeben?
      – welche Rechte habe ich als Betroffener?
      – Hinweis auf das Beschwerderecht

      Nimm Dir die Datenschutzerklärung von Dr. Schwenke, klicke nur dort wo es auf Dich zutrifft auf ja und baue die in Deine Seite ein.
      Ich hoffe, ich konnte Dir ein wenig weiterhelfen.

      LG Martina

      Hinweis: Das stellt natürlich keine Rechtsberatung dar, nur meine persönliche Meinung.

      Antworten
  29. Eine Frage: Bei einem Kontaktaufnahme muss/soll ja eine Checkbox a la „Mit der Nutzung dieses Formulars erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden.“ vorhanden sein.

    Muss die auch bei einer Newslettereintragung vorhanden sein? Denn ich wüsste spontan nicht, wie ich das über Wordpress realisieren kann.

    Danke.

    Antworten
    • Hallo Carsten,
      das mit den Checkboxen ist nicht unbedingt Pflicht. Darüber gibt es gerade einige kontroverse Meinungen. Hör Dir dazu mal den Podcast von Rechtsanwalt Stephan Hansen-Oest an: Braucht mein Kontaktformular jetzt eine Checkbox?. Der Schuss mit der Checkbox kann nämlich auch nach hinten losgehen, wenn eine Einwilligung gefordert wird. Was die Umsetzung angeht: das ist vom jeweiligen Plugin / Widget des Newsletteranbieters abhängig. Beaver Builder z.B. hat mittlerweile eine Checkbox integriert und auch Mailchimp bietet Formulare mit Checkboxen an. Auch andere Anbieter haben das integriert, z.B. Gravity Forms oder Ninja Forms.
      Ich schreibe übrigens gerade an einem Blogbeitrag dazu 🙂 , wo ich auch auf verschiedene Plugins eingehe. Aber Pflicht ist eine Checkbox nicht – und ich werde sie auch nicht anwenden bzw. dort, wo ich sie eingefügt habe, wieder rausnehmen. Dennoch ist es natürlich gut zu wissen, wie man eine realisiert, sollte man doch eine brauchen. 😉 Nur eins ist wichtig: Solltest du Checkboxen einsetzen, dürfen die nicht vorab angeklickt sein.

      Ich hoffe, ich konnte Dir ein wenig weiterhelfen.

      LG Martina

      Antworten
  30. Liebe Martina,

    trotz Deines umfangreichen und informatinven Artikels, für den ich mich herzlich bedanken möchte, habe ich noch eine Frage.
    Im Grunde hast Du sie schon fast beantwortet, es macht sich nur gerade ein „das nicht auch noch“ in mir breit 😉

    Das Einbetten von Instagram-Bildern, mittels Iframe, löst genau das Fließen von Daten aus, wie bei alle andern Drittanbieter auch. Das findet ja bei großen Magazinen aus bekannten Verlagen genauso statt, wie bei kleineren Blogs.

    Mir scheint es so, dass besonders die Google Produkte inkl. Youtube eine Vorkehrung geschaffen haben, die Facebook Produktfamilie dieses Thema aber vernachlässigt.

    Um auf den Punkt zu kommen: eingebettete Instagramies auf der Website sollte man ab 25.5. unterlassen und warten, ob es danach von Instagram eine Lösung gibt.
    Alle schon bestehenden Einbindungen muss ich löschen oder? Oder?

    Vielen lieben Dank für Deine Mühen.
    Ulrike

    Antworten
    • Hallo Ulrike,

      genau, der iframe von Instagram fällt da auch drunter. Manche Widgets sind da kritischer als andere. Bei dem einen werden nur Bilder geladen (dann wird immerhin die IP übertragen), bei anderen lässt sich da noch mehr tracken, wenn z.B. der Nutzer eingeloggt ist bei Instagram oder Facebook.
      Und da hast Du ganz recht, die Google Produkte (vor allem YouTube & Analytics) sind da schon weiter als Facebook & Co. Auch Vimeo hat sich bisher nur unzureichend zu dem Thema geäußert.
      Mir ist derzeit auch nur ein Plugin bekannt, das mit der iframe Problematik umgehen kann und die erst nach Klick auf einen Button nachlädt, nämlich Borlabs Cookie.
      Im Zweifelsfall würde ich erstmal auf diese Widgets verzichten, bis es eine Lösung dafür gibt.
      Freut mich, dass ich ein bisschen helfen konnte 🙂

      LG Martina

      Antworten
  31. Hey Martina,

    Wow, super Artikel. Auf den Punkt gebracht und trotzdem sehr ausführlich. Hat mir sehr weitergeholfen.

    Danke

    Liebe Grüße
    Thomas

    Antworten
  32. “Borlabs Cookie“ funktioniert nur in Verbindung mit JS-Schnipseln welche die externe Funktionalität einbetten, also bei bereits in Themes/Plugins integriertem JS nutzlos.

    Antworten
  33. Ich muss leider sagen, dass ich mit den ganzen Plugins und Codeänderungen überfordert bin. Jetzt nicht von der technischen sondern von der praktischen Seite her. Ich muss ja auch sicherstellen, dass die ganzen Modifikationen laufen. Auch nach einem WP-Update, was auch ein dringendes Sicherheits-Update sein kann. Und wenn die Plugins dann nicht laufen, muss ich das sofort lösen können. Das kann ich jedenfalls nicht. Daher werde ich mein Blog dichtmachen im Mai und auf einen sicheren Weg warten.

    So wie ich das sehe, treibt der Gesetzgeber die Leute mit der DSGVO zu Datenkraken wie fb, dann machen die halt da ihre Website auf. Und fb bekommt noch mehr Nutzerdaten.

    Antworten
    • Hallo Marc!
      Das ist schade. Ich würde an Deiner Stelle die kritischen Plugins (Social Share Buttons außer Shariff, JetPack) weglassen, notfalls Kommentare und Gravatar abschalten (das erfordert weder Code noch Plugins) und vor allem die Datenschutzerklärung anpassen. SSL nicht vergessen.
      LG Martina

      Antworten
  34. Hut ab! Einer der informativsten Beiträge zum Thema DSGVO. Darin steckt sicher viel Recherche- und Interpretationsarbeit. Danke sehr.

    Antworten
  35. Hi Martina,
    danke für den tollen Artikel. Er bringt Licht ins Dunkel 😉
    Eine Frage zum Double-Opt-In: Setzt das Verfahren nicht auch erst eine Bestätigung via Checkbox voraus und dann im zweiten Schritt die Bestätigung nach Erhalt einer Mail?
    Liebe Grüsse
    Mel

    Antworten
    • Hallo Mel,

      danke für Dein Feedback! Ich freue mich, dass ich ein wenig zur Aufklärung beitragen konnte.
      Das Double-Optin ist zunächst einmal nur die Bestätigung nach Erhalt einer Email.
      Was die Checkbox angeht, bin ich auch noch nicht 100% sicher, ob die wirklich mit rein müssen. Was auf jeden Fall nicht mehr sein darf, sind bereits vorausgewählte Checkboxen, die man erst wieder abwählen muss (z.B. beim Kontaktformular automatisch eine ausgewählte Checkbox, die eine Anmeldung zum Newsletter vorsieht).

      LG Martina

      Antworten
      • Hi Martina

        Danke für Deine Antwort.
        Ich hatte das in vielen Artikeln so verstanden, deshalb war ich jetzt irritiert. Du meinst, mit dem ersten „bestellen“ eines Newsletters ist das schon Opt-in 1? Schön wäre die Lösung mit der Checkbox im Newsletter ja nicht gerade 😉 Noch etwas anderes: Ist es zwingend erforderlich in dem Einwilligungshinweis die Datenschutzrichtlinien via Hyperlink zu verknüpfen?

        Antworten
        • Hallo Mel,
          ja, ich lese es in vielen Artikeln auch so, habe es aber auch schon anders gelesen (z.B. hier: https://www.newsletter2go.de/infografiken/newsletter-datenschutz-checkliste/). Ich habe mal im Abschnitt zum Email-Marketing noch einige Artikel verlinkt. So könnte beispielsweise die bloße Eingabe der Emailadresse schon Opt-In 1 darstellen. Mit der Checkbox bist Du allerdings denke ich auf der sicheren Seite. Einige Anbieter, z.B. Mailchimp, haben diese ja auch schon in ihren Formularen hinterlegt und auch Anbieter von Lead-Plugins oder Pagebuildern haben Checkboxen mit implementiert (z.B. beim Beaver Builder). Ob der Datenschutzlink zwingend mit rein muss, kann ich derzeit auch nicht 100% beantworten, ich denke, es reicht, wenn der auf der Website präsent verlinkt ist (ähnlich wie das Impressum).
          Ich denke, ich kann bald dazu näheres sagen!
          LG Martina

          Antworten
  36. Das ist für mich das größte Problem die nötigen AV-Verträge abzuschließen: Ich weiss nicht mal wo ich das machen muß , noch wie das funktioniert . Die Anbieter von Web-Hosting ,Plugins Free oder Premium finden es ja nicht nötig den Kunden der für ein Plugin oder Hostig paket bezahlt hat zu informieren .
    Man muß alles selbst herausfinden was als Laie in der EU- Rechtslage überhaupt nicht möglich ist .Einen Anwalt einzusetzen als kleiner Affiliate das rechnet sich nicht. Da in einen Jahr mit Sicherheit wieder alles geändert oder angepasst wird und das ganze Spiel von vorne lossgeht.
    Es wird viele geben die durch diese DSGVO ihre Blogs und Affiliateseiten Löschen werden. Ich habe damit meine Rente etwas aufgestockt. Und nun wird wieder der Staat die aufstockung übernehmen müssen , auch gut die wollen es halt so.
    Gruß
    Robert

    Antworten
  37. Da sind Abmahnungen vorprogrammiert.Ich finde das ist alles übertrieben mit dem Datenschutz. Ich mache jedenfalls nicht weiter. Habe mich immer an die Regeln gehalten aber jetzt blicke ich nicht mehr durch und das Risiko ist mir zu groß. Große Firmen werden keine Probleme haben das alles umzusetzen ,haben eigene Anwälte. Aber der kleine Affiliate der nur etwas dazu verdienen will hat meiner Meinung keine Chance das umzusetzen .Ich blicke jedenfalls nicht mehr durch.

    Antworten
    • Hallo Robert,

      das ist schade…aber ich kann es verstehen. Vielleicht wird es aber auch nicht so schlimm wie man denkt, es wird ja auch viel Panik verbreitet. Ich würde vor allem darauf achten, meine Datenschutzerklärung anzupassen, nur noch Double Optin zu verwenden (sollte man sowieso) und die nötigen AV-Verträge abzuschließen (gerade Google Analytics).

      LG Martina

      Antworten
    • Hallo Robert, da sprichst du mir und vielen Anderen aus der Seele. Da kommt mal wieder was aus Brüssel, das uns das Leben schwer- oder unmöglich macht. Wer kennt sich denn schon mit den vielen Begriffen aus, die in diesem Blog herumschwirren? Doch die Allerwenigsten. Weshalb wird nicht einfach ein wasserdichtes Formular bereitgestellt, das in die Webseite eingebaut wird, und gut ist`s. Ich sehe es auch so, dass alleine die Unkenntnis der meisten Betreiber mit Abmahnungen ausgenutzt wird. Das müsste unterbunden werden können, indem die Abmahnanwälte in die Pflicht genommen werden. Warum muss ich auf dieser Seite der Verwendung von Cookies zustimmen? Nur weil ich meine Meinung gesagt habe? Und weshalb kann man nicht die Datenschutzerklärung dieser Webseite, vielleicht etwas modifiziert, verwenden? Dann wäre das Problem meiner Ansicht nach doch schon gelöst, oder?

      Antworten
      • Hallo Hans,

        ja, ich sehe auch die größte Gefahr in den Abmahnanwälten und weniger von offizieller Seite. So lange es in Deutschland die kostenpflichtige Abmahnung gibt, wird dieses Geschäftsmodell leider Bestand haben. Auf meiner Seite nutze ich derzeit die Datenschutzerklärung von erecht24 Premium (etwas angepasst), als guten kostenlosen Generator kann ich Dir den von RA Dr. Schwenke empfehlen: https://datenschutz-generator.de/ Damit bist Du schonmal ganz gut versorgt.

        LG Martina

        Antworten
  38. Vielen Dank Martina!
    Endlich eine verständliche Zusammenfassung der wichtigsten Punkte. Gestern noch verzweifelt, heute schon ein Licht am Ende des Tunnels 😉

    LG
    Manuela

    Antworten
  39. Hallo Martina
    Danke für die vielen Infos. Ich befasse mich auch schon seit Wochen mit diesem r
    Thema und habe schon einiges umgesetzt. Habe trotzdem noch hier und da meine Probleme. Ich bin schon am verzweifeln und könnte alles hinschmeissen. Jedoch stecken in meinem Blog so viel Arbeit und Erinnerungen. Es ist ein Teil von mir geworden.
    Im Augenblick weiss ich auch nicht mehr weiter
    Lg
    Manuela

    Antworten
  40. Hallo Martina,
    vielen Dank für die super umfassende Information! Dein Artikel bringt die wichtigsten ToDos auf den Punkt – wie eine Checkliste zum Abarbeiten. Da steckt viel Recherche-Arbeit drin – Respekt! Das hilft unheimlich weiter 🙂 Eine Frage trotzdem: Hier kreuze ich ja beim Abschicken des Kommentars die Zustimmung zu den Datenschutzbestimmungen mit an. Macht es Sinn, die hier zu verlinken? Liebe Grüße,
    Elke

    Antworten
    • Danke liebe Elke!
      Freut mich, dass ich helfen konnte!
      Ja, das Verlinken macht absolut Sinn. Als ich das Plugin (WP GDPR Compliance) aktiviert und den Hinweis eingebaut hatte, ging das Verlinken noch nicht, da wurde HTML-Code noch nicht akzeptiert… Habs geändert!
      Danke nochmal für den Hinweis 🙂
      Ein bisschen Arbeit wartet hier auch noch auf mich 😉

      LG Martina

      Antworten
  41. Das ist ein sehr guter Beitrag und ich frage mich, ob meine Linkparty in der jetzigen Form noch zulässig ist. Falls ja, dürften dann dort nur noch Links von „sicheren Seiten“ rein?
    LG Elke

    Antworten
    • Hallo Elke,

      Das ist eine gute Frage. Also ich denke nicht, dass Du nun keine unverschlüsselten Seiten mehr verlinken darfst. Allein durch das Setzen des Links werden ja keine Daten übertragen. Anders würde es aussehen, wenn Du eine unverschlüsselte Seite per Iframe in Deine Website einbinden würdest.
      LG Martina

      Antworten
  42. Liebe Martina,
    ich beschäftige mich jetzt intensiv seit einigen Tagen mit dem Thema und dein Beitrag hat mir gerade in den Details sehr weitergeholfen.
    Vielen Dank dafür!
    Nadja

    Antworten
  43. Einfach toll. Ich hab mal die ersten Zeilen gelesen und ich muss sagen ich glaube es hilft mir schon mal etwas weiter. Bin seit einem halben Jahr Blogger und jetz kommt das DSGVO und ich habe keinen Plan von allem! Also jetzt heißt es Fortbilden und ich hoffe ich schaffe alles umzusetzen. Danke für deinen tollen Beitrag.
    Lg Anja von Küchenzauber

    Antworten
  44. Ein wichtiger Punkt ist auch, der aber in Deinem sehr guten Artikel nicht erwähnt wurde, dass Hoster standardmäßig schon bei einem normalen Zugriff auf einer Seite und insbesondere bei einem Fehler einer Webseite (z.B. Seite nicht gefunden / 404) Log-Dateien anlegt, wo neben einem Zeitstempel auch die IP-Adresse des Besuchers hinterlegt ist.

    Nun ist die große Frage, auf die ich leider auch keine Antwort habe, ob das gemäß der DSGVO in Ordnung ist, da Logs imho für den sicheren Betrieb einer Webseite notwendig sind.

    Antworten
    • Hallo Thomas,

      danke für den Hinweis! Ich hatte das Thema Webhoster nur am Rande erwähnt im Abschnitt über Drittanbieter. Auf jeden Fall sollte ein Passus dazu in die Datenschutzerklärung und mit dem Hoster ein Auftragsdatenverarbeitungsvertrag geschlossen werden. Die Logfiles sind tatsächlich datenschutzrechtlich nicht ohne. Ggf. den Hoster bitten, die Logfiles zu anonymisieren. Aber so wirklich eine Antwort habe ich darauf leider auch nicht.

      LG Martina

      Antworten
      • bei All-Inkl.com können dazu im KAS unter „Einstellungen > Accesslog“ folgende 4 Einstellungen konfiguriert werden:

        [quote]
        » vollständig: die Standardeinstellung enthält die normalen Logs des Webservers
        » IP gekürzt: die letzten beiden Stellen der Besucher-IP wird gekürzt, aus IP 11.22.33.44 wird 11.22.0.0
        » IP entfernt: die Besucher-IP wird anonymisiert, aus IP 11.22.33.44 wird 0.0.0.0
        » keine Logs: es werden keinerlei Logs & damit auch keine Statistiken erzeugt
        [/quote]

        Antworten
  45. Hallo Martina,
    vielen Dank für deinen sehr konstruktiven Beitrag zu diesem leidigen Thema. Meinen Respekt hast du.
    Etwas ist mir unklar. Du schreibst „Den Auftragsdatenverarbeitungsvertrag musst Du übrigens für jedes Konto abschließen, also separat für jede Website!“
    So wie ich Dr. Schenke in seinem Beispiel verstanden habe, muss ein Konto nicht für jede Webseite bestehen. Ein Konto kann mehrere Properties, also Webseiten, vorweisen.
    Ich habe quasi ein Konto unter dem ich 6 Webseiten mit den jeweiligen Property-Nummern führe. Demnach auch nur einen Google Vertrag für diese Webseiten.
    Kannst du da zustimmen oder verstehe ich etwas falsch? Ich bin nämlich ziemlich verwirrt.
    Vielen Dank
    Othmar Wrana

    Antworten
    • Hallo Othmar,

      stimmt, das war etwas missverständlich. Sofern Du in einem Konto mehrere Websites drin hast, würde der Vertrag für das Konto mit den 6 Webseiten gelten – so verstehe ich den Artikel von Dr. Schwenke auch. In meinem Fall muss ich tatsächlich mehrere Verträge abschließen, da ich für jede Website ein Konto angelegt habe. Ich habe den Artikel von Dr. Schwenke verlinkt. Danke für den Hinweis!

      LG Martina

      Antworten
      • Hallo,

        Ich betreibe eine Instagram Seite, wo ich auch von anderen Fotografen Bilder hochlade. Aber die Quellen mit angebe. Könnte mich da auch eine Konsequenz erwarten? Oder muss man die Seite löschen oder auf privat stellen? Ich möchte ungern diese Seite löschen. Würde mich über eine Antwort freuen.

        Antworten

Schreibe einen Kommentar

WordPress Cookie Hinweis von Real Cookie Banner