Seit dem 25.05.2018 ist die DSGVO, die neue Datenschutzgrundverordnung in Kraft. Spätestens jetzt ist Zeit zu handeln, denn bei Nichtbeachtung drohen empfindliche Strafen und das Risiko einer Abmahnung ist groß. In diesem kleinen Blogartikel möchte ich Dich ein wenig für das Thema Datenschutz und DSGVO sensibilisieren und Dir einen kleinen Leitfaden für die Umsetzung an die Hand geben.
DISCLAIMER – HINWEIS:
Ich bin weder Juristin noch Datenschutzbeauftragte! Dieser Artikel stellt KEINE Rechtsberatung dar, sondern gibt lediglich das wieder, was ich in eigener Recherche Arbeit zu diesem Thema herausgefunden habe. Ich übernehme keine Gewähr für Richtigkeit, Aktualität und Vollständigkeit meiner Ausführung und keinerlei Haftung für mögliche Rechtsfolgen.
DSGVO – was ist das überhaupt?
Zuallererst: die DSGVO ist gar nicht so neu. Sie wurde 2016 bereits in der EU beschlossen und soll das Datenschutzrecht in der EU vereinheitlichen. DSGVO steht für Datenschutzgrundverordnung und sie trat am 25.05.2018 in Kraft. Ziel der DSGVO ist es, die Privatsphäre zu stärken und mehr Kontrolle über persönliche Daten zu geben. Der Schutz persönlicher Daten soll gewährleistet sein und deren Nutzung soll transparenter werden. Der Nutzer soll selbst aktiv entscheiden können, welche Daten er herausgibt und welche nicht – und er soll wissen, was mit den Daten geschieht.
Wer ist von der DSGVO betroffen?
Grundsätzlich: ALLE, die Daten ihrer Nutzer erheben und verarbeiten und das tut im Prinzip jeder Websitebetreiber, sei es über Kontaktformulare, Google Analytics, Facebook Pixel, Newsletter etc. Damit sind auch kleine Unternehmen und Selbständige betroffen, nicht nur große Konzerne. Die DSGVO gilt übrigens auch für Nicht-EU-Unternehmen, wenn sie Daten von EU-Bürgern verarbeiten, also beispielsweise Email-Marketing-Anbieter wie Mailchimp oder ActiveCampaign.
Welche Strafen erwarten mich?
Die zuständige Datenschutzbehörde vor Ort überwacht sie Einhaltung der Vorschriften, es stehen Strafen von bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes im Raum. Und das sind die offiziellen. Von Abmahnkosten ganz zu schweigen, denn geschäftstüchtige Profi-Abmahner wetzen bereits ihre Messer.
Der Datenschutzhinweis
Du brauchst auf jeden Fall eine Datenschutzerklärung auf Deiner Website. Diese muss genau wie das Impressum von jeder Unterseite Deiner Website aus erreichbar sein, und zwar am besten als eigener Menüpunkt, als eigene Unterseite. Dieser kann dann z.B. „Datenschutz“ oder „Datenschutzerklärung“ heißen. Deine Datenschutzerklärung sollte beinhalten:
- welche Daten erhoben und verarbeitet werden
- ob und in welcher Form Daten an Dritte weitergegeben werden
- ein Widerrufsrecht / Recht auf Löschung / Opt-Out für den Nutzer
- ein Ansprechpartner für Fragen
Die Datenschutzerklärung sollte individuell auf die jeweilige Website / den Website-Betreiber angepasst sein. Du kannst Datenschutzgeneratoren nutzen, allerdings haftest Du dann auch selber, das sollte Dir bewusst sein. Deshalb prüfe diese Generatoren daraufhin, ob sie auch wirklich alle Tools beinhaltet, die Du im Einsatz hast. Gerade bei sehr individuellen und komplexen Konstellationen solltest Du einen Rechtsanwalt zu Rate ziehen.
Ein Muster für eine Datenschutzerklärung gibt’s bei bei activeMind, bei der Deutschen Gesellschaft für Datenschutz oder im Premium-Bereich von e-Recht24 Auch der Datenschutz-Generator von RA Schwenke ist sehr zu empfehlen.
Weitere Datenschutzgeneratoren: Anwaltskanzlei Weiß & Partner, WBS Law Datenschutzerklärung für Facebook-Seiten und Gruppen von Lawlikes.
Datenschutzerklärungen für Österreich gibt’s bei der WKO oder bei Advolist.
Datenschutzerklärung FAQ beim Rechtsbelehrung Podcast
Cookies
Diese „bösen kleinen Kekse“ sind Datenpakete, die zwischen Webbrowser und Webserver ausgetauscht werden. Es handelt sich um kleine Textdateien, die auf dem Computer des Websitebesuchers gespeichert werden und Informationen zur Identifikation des Nutzers enthalten. Diese kommen z.B. häufig in Online-Shops vor, wo Informationen über den Warenkorb gespeichert werden, andere Beispiele sind die Tracking-Cookies von Google Analytics oder das Facebook Pixel oder Cookies von Affiliate- und Werbenetzwerken. Jeder kennt sie, die Werbeanzeigen, die nach dem Besuch beispielsweise eines Onlineshops die dort angeschauten Produkte auf einer fremden Website anzeigen.
Notwendige vs. nicht notwendige Cookies
Man unterscheidet hier zwischen funktionalen (technisch notwendigen) Cookies, die zum Betrieb der Website notwendig sind wie das Speichern von Login-Daten oder Session-Cookies beim Warenkorb oder Sprachauswahl (werden beim Schließen des Browsers gelöscht) und technisch nicht notwendigen Cookies wie Tracking-Cookies und Targeting-Cookies.
Funktionale Cookies dürfen ohne vorherige Zustimmung gesetzt werden, nach der EU-Cookie-Richtlinie ist bei nicht funktionalen Cookies eine Zustimmung (Opt-In) erforderlich. Du musst auf Deiner Website auf die Nutzung von Cookies hinweisen – das ist nun Pflicht. Allerdings reicht in Deutschland derzeit noch ein Opt-Out, d.h. der Nutzer muss lediglich die Möglichkeit haben, Cookies zu deaktivieren.
UPDATE 05.08.2019: Laut EuGH Urteil vom 29.07.2019 ist Opt-In in Deutschland nun Pflicht (siehe auch den Artikel von RA Schwenke)!
Nun hat auch der BGH entschieden, dass für alle technisch nicht notwendigen eine Einwilligung der Nutzer notwendig ist – und das gilt insbesondere dann, wenn Du Tracking einsetzt.
Cookie Plugins für WordPress
Hier eine Liste von Cookie Plugins für die eigene WordPress-Website, die ein Opt-In beinhalten:
- Das kostenpflichtige Plugin Borlabs Cookie * bietet eine Opt-In Lösung für Cookies, Google Analytics & Facebook Pixel Unterstützung, Blockieren und Nachladen von iframes (Google Maps, YouTube, Vimeo…)
- Pixel Mate*: Facebook Pixel datenschutzkonform einbinden mit Opt-In (inkl. Google Analytics mit IP Anonymisierung und Opt-In) und Cookie-Notice. Neu: Blockierung externer Ressourcen
Sobald Du Tracking einsetzt (Facebook, Google Analytics etc.) ist eine Einwilligung Pflicht!
Drittanbieter: Verarbeitungsverzeichnis anlegen!
Was sind nun Drittanbieter? Das sind alle Anbieter, die nicht direkt zum eigenen Unternehmen gehören und die auf Deiner Website Daten erheben oder verarbeiten. Mit diesen Anbietern sollten Auftragsdatenverarbeitungsverträge abgeschlossen werden und sie sollten explizit in einem eigenen Abschnitt in der Datenschutzerklärung aufgeführt werden (inkl. Name und Anschrift der Firma, Hinweis auf die Art und Verwendung der Daten und auf den Auftragsdatenverarbeitungsvertrag.) Bei Drittanbietern aus USA solltest Du darauf achten, dass sie im Privacy Shield registriert sind!
Beispiele für Drittanbieter:
Tracking-Dienste
wie Google Analytics oder Facebook Pixel. Hier werden personenbezogene Daten erfasst u.a. die IP Adresse, das Nutzerverhalten, zum Teil über Seiten hinweg. So lassen sich Nutzerprofile erstellen, selbst wenn der Websitebesucher davon gar nichts weiß und dem nie zugestimmt hat. Gerade Facebook Pixel ist besonders datenhungrig.
Email-Marketing-Dienste
wie ActiveCampaign, Mailchimp, GetResponse, KlickTipp, ConvertKit, Cleverreach, Sendinblue etc.
Terminbuchungs- und Kalendertools
wie Acuityscheduling, YouCanBookMe, eTermin
Zahlungsanbieter
wie Elopage oder Paypal. Digistore ist Reseller und kein Auftragsverarbeiter.
Webinaranbieter und Video Streaming Tools
wie Zoom, Clickmeeting, Webinaris, Webinarjam, …
Webhoster
wie All-Inkl.com, Domainfactory, HostEurope, Strato, 1und1, Jimdo… Selbst wenn Du keine Tracking Dienste, Social Plugins oder Email Marketing nutzt: In dem Moment, in dem Du eine Website betreibst, werden bereits Daten Deiner Besucher erhoben: nämlich über die Logfiles (hier werden IP Adressen gespeichert)
Cloud Services
wie Google Drive, Dropbox etc. Sobald Du hier z.B. Deine Backups ablegst, die personenbezogene Daten enthalten.
Emailanbieter
wie gmail, gmx, yahoo etc. In den Business-Varianten der Maildienste (z.B. Gmail) ist es möglich, AV-Verträge abzuschließen. In der Regel benötigst Du hier keinen AV-Vertrag, sofern der Emaildienst nur zur reinen Nachrichtenübermittlung genutzt wird. Demnach wäre der Email-Dienstleister ein reiner TK-Dienstleister. Sollten jedoch weitere Dienste genutzt werden, kann es nötig sein, AV-Verträge abzuschließen (z.B. Google Drive). Reine Email-Anbieter benötigen demnach keinen AV-Vertrag, sollten aber im Verarbeitungsverzeichnis aufgeführt sein.
Landingpagetools oder All-in-One-Online-Marketing-Dienste
wie Leadpages, Infusionsoft, Clickfunnels, Kajabi,….
Plugins und Widgets
allen voran das berüchtigte Jetpack, das gerne mal „nach Hause telefoniert“, oder auch Social Media Widgets. Mehr zum Thema WordPress Plugins und DSGVO
Embeds: Videos, Podcasts & Co.
von YouTube, Vimeo, Soundcloud, Libsyn & Co.. Hier werden Inhalte des fremden Anbieters auf Deiner Seite geladen und damit schonmal die IP Adresse Deines Besuchers weitergegeben. Bei einigen dieser Dienste ist es möglich, Benutzeraccounts anzulegen. Sollte nun Dein Websitebesucher z.B. einen YouTube oder Soundcloud Account haben und eingeloggt sein, können die übertragenen Daten auch seinem Account zugeordnet werden.
Teammitglieder, Freelancer, VAs
– hier solltest Du eine Verschwiegenheitserklärung unterzeichnen lassen, denn sie arbeiten ja u.U. mit personenbezogenen Daten Deiner Kunden / Nutzer. Außerdem arbeitest Du wiederum, mit deren Daten. TODO: Lege Dir ein Verarbeitungsverzeichnis (z.B. als Word-Datei oder Excel-Tabelle) an, in dem Du alle Anbieter, Plugins und Teammitglieder auflistest, mit denen Du zusammenarbeitest! Hier gibt es Vorlagen dazu: WKO | Activemind.de | Regina Stoiber
Eine Liste mit Links zu AV-Verträgen findest Du bei Blogmojo.
US Anbieter: Die Sache mit dem Privacy Shield
Mit EUGH Urteil vom 16.07.2020 gilt nun der Privacy Shield, die Vereinbarung zum Datenaustausch zwischen Europa und den USA als ungültig. D.h., die Verwendung eines Dienstes (Drittanbieter) aus den USA ist demnach nicht mehr sicher und kann abgemahnt werden. Einen Lichtblick bieten derzeit noch die sogenannten EU-Standardvertragsklauseln oder Einwilligungen des Nutzers.
Auch hier gilt: NO PANIC! Vermutlich ist es aber besser auf lange Sicht gesehen, entsprechende Anbieter in der EU oder in anderen sicheren Drittländern wie z.B. der Schweiz zu finden.
Mehr dazu bei eRecht24 und Dr. Schwenke.
SSL Verschlüsselung
SSL-Verschlüsselung ist nicht nur in SEO-Hinsicht empfehlenswert. Sie ist zwar keine Pflicht in der DSGVO, aber ohne eine SSL-Verschlüsselung ist eine sichere Datenübertragung nicht möglich. In meiner Anleitung zeige ich Dir, wie Du eine SSL Verschlüsselung einrichtest.
Formulare
Du nutzt Formulare auf Deiner Website? Bestimmt tust Du das. Wenn Du einen Onlineshop betreibst, sowieso, aber auch das simple Kontaktformular sammelt Daten. Überlege Dir hier zum einen, welche Daten Du WIRKLICH brauchst und mach dem Nutzer transparent, WOFÜR Du die Daten brauchst. Bei einer Kontaktaufnahme ist natürlich die Email zwingend erforderlich, damit Du die Anfrage auch beantworten kannst – aber benötigst Du wirklich das Geburtsdatum oder den Mädchennamen der Großmutter?
Einwilligung per Checkbox einholen – sinnvoll?
Warum die Einwilligung nicht unbedingt die beste Rechtsgrundlage für das Verarbeiten von Kontaktformulardaten ist und welche Rechtsgrundlagen stattdessen greifen, das erklärt Rechtsanwalt Stephan Hansen-Oest in seinem neuesten Podcast: Braucht mein Kontaktformular jetzt eine Checkbox?. Anders sieht es natürlich aus, wenn Du besonders sensible Daten abfragst. Mittlerweile unterstützen die meisten Formular-Plugins und Pagebuilder Checkboxen, so dass Du kein separates Plugin mehr dafür brauchst.
TODO: Du solltest in der Nähe von Kontaktformularen immer darauf eingehen, welche Daten wofür und für wie lange erhoben werden, wie lange sie gespeichert werden, ob sie an Dritte übermittelt werden (in Kurzform) und dann auf die Datenschutzerklärung verlinken, die ausführliche Informationen enthält.
Kommentarfunktion
WordPress bietet jetzt ab Version 4.9.6 eine Checkbox bei den Kommentaren an. (in Einstellungen → Diskussion lässt sich das aktivieren bzw. deaktivieren).
Kommentar Abos
Du bietest auch die Möglichkeit, Kommentare zu abonnieren, d.h. Deine Besucher bekommen eine automatische Email, wenn es einen neuen Kommentar gibt? Dann musst Du auch hier das Double-Optin-Verfahren anwenden. Ein geeignetes Plugin hierfür ist Subscribe to „Double-Opt-In“ Comments.
IP Adressen in Kommentaren
Thema IP Adressen in Kommentaren: WordPress speichert standardmäßig die IP Adressen der Kommentarschreiber. Die Erfassung der IP Adresse ist aber nicht unbedingt datenschutzkonform. Was also tun? Es gibt ein Plugin dafür, RemoveIP, das allerdings bereits seit 2 Jahren nicht mehr weiterentwickelt wird. Du könntest einen kleinen Code in Deine functions.php einfügen, das die Speicherung der IP-Adressen verhindert. Dieses kleine Plugin von Thomas Leister wandelt alle IP Adressen in die IP 127.0.0.1 (Localhost) um. (Das o.g. Plugin macht übrigens nix anderes). Bestehende IP Adressen müsstest Du dann in der Datenbank manuell löschen.
function remove_comment_ip()
{
return "127.0.0.1";
}
add_filter( 'pre_comment_user_ip', 'remove_comment_ip', 50);Das Plugin Remove Comment IPs – löscht IP Adressen nach 60 Tagen aus der Datenbank (so lange werden sie aus Anti-Spam-Gründen gespeichert)
Leider gibt es derzeit kein Plugin, das bei älteren Kommentaren die IP Adressen löscht (zumindest ist mir keins bekannt – für Hinweise bin ich dankbar!). Um bei älteren Kommentaren die IP Adresse zu löschen, müsstest Du in der Datenbank selbst Hand anlegen. Siehe hierzu das Tutorial von WP Beginner.
Es kann allerdings aus strafrechtlichen Gründen sinnvoll sein, IP Adressen zu behalten (siehe diesen Beitrag auf datenschmutz.net) . Außerdem wird es wahrscheinlich (hoffentlich) von WordPress selbst bald eine Lösung dazu geben. Du solltest im Bereich der Kommentare noch einmal auf die Datenschutzerklärung verweisen.
Umgang mit Kommentarspam
Kommentarspam solltest Du übrigens nach wie vor aus Datenschutzgründen nicht mit dem WordPress-Standard-Plugin Akismet, sondern mit Antispam Bee bekämpfen. Hier solltest du allerdings noch eine kleine Einstellung machen, um AntiSpamBee wirklich datenschutzkonform zu nutzen: „Öffentliche Spamdatenbank berücksichtigen“ solltest Du deaktivieren.
WordPress Plugins, Gravatare und Emojis
Einige Plugins sind datenschutzrechtlich bedenklich. In meinem Artikel WordPress Plugins und die DSGVO findest Du eine Liste der kritischen Plugins, ggf. Alternativen und eine Liste nützlicher Plugins.
Gravatare deaktivieren
Gravatare sind übrigens auch nicht ganz ohne. Wenn Du sicher gehen willst, deaktivierst Du Gravatare unter Einstellungen -> Diskussion. Falls Du Gravatare weiterhin nutzen willst, weise am besten schon bei den Kommentaren darauf hin und setze einen entsprechenden Hinweis in die Datenschutzerklärung. Als Alternative für die Gravatar-Funktion bietet sich das Plugin WP User Avatar an, das ich auch für meine Kommentare einsetze. Du kannst hier Avatar-Bilder auf Deinen Server hochladen und in den Einstellungen Gravatar deaktivieren und nur lokale Avatare verwenden.
Emojis deaktivieren
Emojis: diese kleinen bunten Smileys 🙂 werden von neuen Browsern unterstützt, für ältere Browser wird zusätzlicher Code von einem CDN geladen. Das Plugin Disable Emojis entfernt diesen zusätzlichen Code. Du kannst das allerdings auch einfach über die functions.php abstellen (Quelle – Disable Emojis) :
/**
* Disable the emoji's
*/
function disable_emojis() {
remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
remove_action( 'admin_print_scripts', 'print_emoji_detection_script' );
remove_action( 'wp_print_styles', 'print_emoji_styles' );
remove_action( 'admin_print_styles', 'print_emoji_styles' );
remove_filter( 'the_content_feed', 'wp_staticize_emoji' );
remove_filter( 'comment_text_rss', 'wp_staticize_emoji' );
remove_filter( 'wp_mail', 'wp_staticize_emoji_for_email' );
add_filter( 'tiny_mce_plugins', 'disable_emojis_tinymce' );
add_filter( 'wp_resource_hints', 'disable_emojis_remove_dns_prefetch', 10, 2 );
}
add_action( 'init', 'disable_emojis' );/**
* Filter function used to remove the tinymce emoji plugin.
*
* @param array $plugins
* @return array Difference betwen the two arrays
*/
function disable_emojis_tinymce( $plugins ) {
if ( is_array( $plugins ) ) {
return array_diff( $plugins, array( ‚wpemoji‘ ) );
} else {
return array();
}
}/**
* Remove emoji CDN hostname from DNS prefetching hints.
*
* @param array $urls URLs to print for resource hints.
* @param string $relation_type The relation type the URLs are printed for.
* @return array Difference betwen the two arrays.
*/
function disable_emojis_remove_dns_prefetch( $urls, $relation_type ) {
if ( 'dns-prefetch' == $relation_type ) {
/** This filter is documented in wp-includes/formatting.php */
$emoji_svg_url = apply_filters( 'emoji_svg_url', 'https://s.w.org/images/core/emoji/2/svg/' );
$urls = array_diff( $urls, array( $emoji_svg_url ) );
}
return $urls;
}Auch das Autooptimize Plugin hat eine Funktion, Emojis und Google Fonts zu entfernen. Auch mein Lieblings-Caching-Plugin WP Rocket* deaktiviert Emojis per Mausklick.
Google Fonts
Google Fonts – was haben Schriftarten denn nun mit Datenschutz zu tun? Ganz einfach, sobald Du die Schriftarten auf Deiner Website vom Google CDN lädst, erfolgt ein Zugriff auf den Google Server und dadurch wird ein personenbezogenes Datum – nämlich die IP Adresse übertragen. Die meisten professionellen Themes verwenden Google Fonts und laden sie vom Google Server. Dabei kannst Du mit ein paar Handgriffen die Fonts auch lokal auf Deinem Webserver ablegen und von dort aus laden.
In diesem Artikel zeige ich Dir, wie Du es machst: Google Fonts lokal einbinden. Wichtig: Child Theme benutzen, falls Du Änderungen an Deiner functions.php machst! Für andere Schriftarten (z.B. Font Awesome) gilt ähnliches. (Aber zum Glück gibt es ja auch dafür mittlerweile Plugins bzw. Erweiterungen zu Pagebuildern).
Achtung bei Adobe Typekit! Hier gibt es keine Möglichkeit, die Schriftarten herunterzuladen und lokal zu nutzen. Du solltest Dir also für diese Schriftarten einen Ersatz suchen (ähnliche Schriftart) oder, falls Du gar nicht darauf verzichten willst, zumindest in der Datenschutzerklärung darauf hinweisen. Das gilt übrigens auch dann, wenn Du nicht auf das externe Laden von Google Webfonts oder Font Awesome verzichten willst.
Da bereits die ersten Abmahnungen zum Thema Google Fonts raus gingen, empfehle ich Dir, die Fonts lokal einzubinden, um auf Nummer sicher zu gehen.
Google Maps
Um Google Maps DSGVO-konform zu nutzen, solltest Du Dir vorher eine Einwilligung Deiner Nutzer einholen. Das kann geschehen durch eine 2-Klick-Lösung, nach der Nutzer erstmal zustimmen müssen, bevor sie Google Maps laden. Borlabs Cookie* und AWEOS Google Maps iframe load per click bieten eine solche Lösung an. Ansonsten bleibt natürlich noch die Möglichkeit, die Map einfach zu verlinken.
Google Analytics
Der Einsatz von Google Analytics und auch Facebook Pixel ist ohne Optin nicht zu empfehlen.
Am 26.04.2018 hatte die Datenschutzkonferenz (ein Zusammenschluss deutscher Datenschutz-Aufsichtsbehörden) in einer Positionsbestimmung festgestellt, dass der Einsatz von Tracking-Tools einer vorherigen Einwilligung, also eines Optins des Nutzers, bedarf.
Siehe auch: Mein Artikel: Google Analytics und die DSGVO
[UPDATE 02.05.] Der rechtskonforme Einsatz von Google Analytics & Universal Analytics von Rechtsanwältin Nina Diercks Einwilligung beim Tracking – Ratschlag vom Datenschutz Guru Rechtsanwalt Stephan Hansen-Oest
UPDATE 05.08.2019: Laut EuGH Urteil vom 29.07.2019 ist Opt-In in Deutschland nun Pflicht!!! Ich empfehle dringend, eins der unten aufgeführten Plugins zu nutzen!
Optin für Google Analytics
Hier kann ich folgende Plugins empfehlen:
Weitere geeignete Plugins sind:
Google Analytics Germanized: hier ist anonymize_ip bereits voreingestellt und ein Opt-out Link ist enthalten, UPDATE 27.04.: nun auch mit Cookie Notice!
Auch mein Lieblings-SEO-Plugin SEOPress bietet die Möglichkeit, Google Analytics datenschutzkonform einzubinden und eine Einwilligung einzuholen.
Auch die beiden Plugins Google Analytics for WordPress by MonsterInsights und Google Analytics Dashboard for WP (GADWP) bieten mittlerweile laut eigenen Aussagen die Möglichkeit einer datenschutzkonformen Einbindung von Google Analytics.
Zusätzlich zu den Plugins musst Du die folgenden Schritte ausführen:
Auftragsverarbeitungsvertrag mit Google
Um Google Analytics rechtssicher zu nutzen, benötigst Du zum einen eine Auftragsdatenverarbeitung mit Google. Die findest Du als elektronische Variante unter Kontoeinstellungen –> Zusatz –> Zusatz anzeigen.
Den Auftragsdatenverarbeitungsvertrag musst Du übrigens für jedes Konto abschließen, also falls Du für jede Website ein separates Konto nutzt, separat für jede Website! Siehe auch Anleitung von Rechtsanwalt Dr. Schwenke zum Thema Analytics.
Google Analytics anonymisieren
Dann solltest Du den Google Analytics Code anonymisieren. Das kannst Du entweder von Hand machen oder per Plugin (siehe Liste oben).
Du kannst das aber auch über ein Plugin regeln – ich empfehle Dir aber, wegen der Optin-Pflicht auf eins der drei erstgenannten Plugins zurückzugreifen:
Datenschutzerklärung anpassen
Zu guter Letzt darf dann der Hinweis in der Datenschutzerklärung natürlich nicht fehlen. Außerdem sollte ein Opt-Out in Deiner Datenschutzerklärung vorhanden sein. Den Opt-Out Link kannst Du mit einem Plugin wieBorlabs Cookie, Google Analytics Opt-Out oder Google Analytics Germanized einstellen. Bei Google Analytics kannst Du nun auch die Speicherdauer der Daten einstellen: das machst Du für jede Property unter Verwaltung – > Property ->Tracking-Informationen -> Datenaufbewahrung
Alternativen zu Google Analytics
Im Hinblick auf das EuGH-Urteil zum Privacy Shield macht es ggf. Sinn, sich nach Alternativen umzuschauen wie Matomo oder etracker. Wer nur wenig Funktionalität benötigt und einen reinen Besucherzähler sucht, kann stattdessen auch einfach das datenschutzkonforme Plugin Statify nutzen.
Siehe auch: Mein Artikel: Google Analytics und die DSGVO
Social Sharing & Social Plugins
Eine gute und eine schlechte Nachricht: Social Sharing Plugins sind bis auf wenige Ausnahmen, wie den Shariff Wrapper, das Plugin von eRecht24 oder Mashshare nicht datenschutzkonform, was zumindest die Qual der Wahl vereinfacht. Diese Plugins kommunizieren erst mit dem jeweiligen Social Network, nachdem der Nutzer aktiv auf den Link geklickt hat.
Auch die Facebook Like Box ist problematisch. Hier ist es vielleicht wirklich besser, einfach bloß einen Link zur eigenen Facebook Seite einzufügen, damit bist Du jedenfalls auf der sicheren Seite. Plugins und Datenschutz.
Facebook Pixel
Für Facebook Pixel gilt das, was ich bereits bei Google Analytics geschrieben habe:
- Optin-Pflicht
- AV-Vertrag
- Datenschutzerklärung
Weitere Infos zur rechtssicheren Einbindung vom Facebook Pixel findest Du im Artikel von Rechtsanwalt Dr. Schwenke. Eine Vorlage zur Anpassung Deiner Datenschutzbestimmungen sowie einen Mustertext für ein Hinweis-Popup von Rechtsanwältin Sabine Keese-Haufs findest Du hier.
Facebook Seite und Datenschutz
Laut dem EUGH-Urteil vom 05.06. sind Facebook-Seitenbetreiber mitverantwortlich für Datenschutzverstöße von Facebook. Das ist allerdings kein Grund, die Facebook-Seite zu schließen. Allerdings solltest du eine Datenschutzerklärung auf Deine Facebook-Fanpage und in Deine Facebook-Gruppe integrieren. Das kann per Link auf z.B. ein PDF auf Deiner Website oder auch als Notiz auf Deiner Facebook Fanpage und Gruppe geschehen (so habe ich es gelöst). Lawlikes bietet hier eine kostenlose Datenschutzerklärung für Facebook-Seiten und Gruppen. Wenn Du eine englische Übersetzung dazu brauchst, wirst Du bei Mrs. Divi fündig.
Embeds: YouTube, Vimeo, Instagram & Co.
Wenn Du Inhalte fremder Websites als sogenannte Embeds in Deine Website einbindest, beispielsweise über iFrames, dann werden auch Daten Deiner Nutzer an die jeweilige Website übertragen. Ganz sicher bist Du hier nur über Textlinks, ein wenig Abhilfe könnte die erweiterte Datenschutzfunktion von YouTube schaffen. Wenn Du ein Video auf Deiner Website einbetten willst, setze beim Einbetten-Code von YouTube das Häkchen bei „Erweiterten Datenschutzmodus aktivieren“. Somit stellst Du sicher, dass die Cookies erst bei Wiedergabe des eingebetteten Videos gesetzt werden. Ein Hinweis in der Datenschutzerklärung ist natürlich auch hier erforderlich. Mehr Infos zu diesem Thema findest Du hier.
Nun gibt es auch eine Anleitung von mir zur DSGVO-konformen Einbettung von YouTube-Videos
Empfehlenswerte Plugins:
Newsletter & Email Marketing
Gerade im Bereich des Email Marketings gibt es einige Dinge, die zu beachten sind. Natürlich kann ich im Rahmen dieses Artikels nicht auf alle Aspekte eingehen, aber hier die m.E. wichtigsten Punkte:
Double Optin
Immer Double-Optin nutzen! Ich denke, das sollte mittlerweile der Standard sein. Double-Optin meint, dass der Nutzer erst eine Bestätigungsmail zugesendet bekommt, in der er explizit einen Link anklicken muss, um in Deinem Verteiler zu landen. Somit ist sichergestellt, dass niemand sich in fremdem Namen für einen Newsletter anmeldet und die Anmeldung freiwillig erfolgt. In der Bestätigungsmail sollte keine Werbung oder sonstige Inhalte enthalten sein!
Datensparsamkeit
Erforderliche und optionale Daten In Deinen Newsletter Formularen sollte nur die Emailadresse zwingend erforderlich sein, alle anderen Daten wie z.B. Name sollten nur optional abgefragt werden! Somit stellst Du sicher, dass der Nutzer selbst entscheidet, welche Daten er preisgibt und welche nicht.
Transparenz beim Email Marketing
Zukünftig musst Du genau darstellen, wozu der Nutzer seine Einwilligung gibt:
- Um was für einen Newsletter handelt es sich?
- Worum geht es?
- Wie oft wird der Newsletter verschickt?
Denke daran, dass Du für jeden Newsletter, den Du anbietest, auch separate Einwilligungen einholst.
Rechtliche Hinweise
Impressum & Abmeldelink sollten natürlich weiterhin in jedem Newsletter vorhanden sein, bei den meisten Email-Marketing-Diensten sind diese Daten automatisch enthalten.
Freebies und das Kopplungsverbot
Ist der Freebie denn nun tot? Denn in der DSGVO wird ja vom Kopplungsverbot gesprochen, d.h. man darf keine Daten sammeln, die nicht der Erfüllung des eigentlichen Zwecks dienen. Ein Ebook nur gegen die Herausgabe einer Emailadresse abzugeben, würde diesem Koppelungsverbot zuwiderhandeln. Eine Möglichkeit wäre es, den Spieß einfach umzudrehen und transparent zu sagen: „Trag Dich hier in meinen Newsletter ein. Als Dankeschön bekommst Du von mir XXX…“ Oder Freebies herauszugeben, die eine Emailadresse zur Ausführung erfordern, wie z.B. Emailkurse oder kostenlose Onlinekurse anzubieten.
Auftragsdatenverarbeitungsvertrag & Hinweise in der Datenschutzerklärung
Das gilt natürlich auch für Email-Marketing-Dienste.
Email-Marketing-Anbieter aus Nicht-EU Ländern
Darf ich nun keine Email-Marketing-Anbieter aus den USA mehr nutzen? Mit dem neuesten EuGH-Urteil: eigentlich nicht, aber verfalle trotzdem nicht in Panik! Auf jeden Fall solltest Du die obigen Punkte einhalten.
Auch ich nutze erstmal weiterhin ActiveCampaign und passe meine Einwilligungen und die Datenschutzerklärung an. Parallel sehe ich mich nach Alternativen um, aber bisher habe ich leider nichts adäquates finden können.
Falls Du bereits einen Anbieter aus den USA nutzt: Einwilligungen und Datenschutzerklärung checken. Falls Du noch keine Anbieter nutzt: hier lohnt es sich, gleich nach einem europäischen Anbieter Ausschau zu halten.
Links zum Thema:
Newsletter Datenschutz: Checkliste von Newsletter2Go | Sind Checkboxen erforderlich oder nicht? | Freebies DSGVO-konform anbieten | MailChimp, Newsletter und Datenschutz – Anleitung mit Muster und Checkliste
Lies auch den Gastbeitrag des Berufsverbandes der Rechtsjournalisten e.V. auf meinem Blog: Einfluss der DGSVO auf das E-Mail-Marketing – was ändert sich bei Newsletter und Co.?
DSGVO – Schritte zur Umsetzung
- Don’t Panic!
- Überlege Dir, an welchen Stellen du Daten Deiner Nutzer erhebst
- Lege ein Verarbeitungsverzeichnis an
- Schließe Verträge zur Auftragsdatenverarbeitung ab
- Überarbeite Deine Datenschutzerklärung
- Überarbeite Deine Formulare
- Checke Deine Newsletter & Freebies
- Bau einen Cookie Hinweis ein
- Checke Google Analytics, FB Pixel, Embeds & Co.
- Kümmere Dich um SSL Verschlüsselung
- Schließ Verschwiegenheitserklärungen mit Freelancern und VAs ab!
Empfohlene weiterführende Links, Literatur und Onlinekurse
Die folgenden Links haben mir bei der Recherche sehr geholfen, deshalb möchte ich Sie Dir nicht vorenthalten:
- DSGVO-Checkliste für Blogs von datenschmutz.net
- DSGVO Leitfaden für Blogger von Lesefreunde.at
- DSGVO-Serie auf t3n mit DSGVO-Guide von Dr. Thomas Schwenke
- Blog von Rechtsanwalt Dr. Schwenke
- E-Recht24
- Kostenloses Ebook zur DSGVO von Datenschutz.org
- BDSG-neu: Was enthält das neue Bundesdatenschutzgesetz?
- Kostenfreier Onlinekurs zur DSGVO bei Elopage
- Kostenloser DSGVO Kurs von Digistore24
- Der Originaltext der DSGVO
- Datenschutz Guru Blog und Podcast
- DSGVO Vorschriften für Unternehmen und Organisationen – Infosammlung der Europäischen Kommission
- Praxishilfen DS-GVO der Gesellschaft für Datenschutz und Datensicherheit e.V.
Ein kleines Büchlein möchte ich Dir noch ans Herz legen, gibt es bei Amazon für 5,50 EUR: Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine: Das Sofortmaßnahmen-Paket vom Bayerischen Landesamt für Datenschutzaufsicht
Mittlerweile ist ein umfangreiches Buch erschienen von Christian Solmecke und Sibel Kocatepe von WBS Law mit dem Titel: DSGVO für Website Betreiber mit Mustervorlagen. Hier geht es zu DSGVO für Website-Betreiber bei Amazon
Empfehlenswerte Facebook-Gruppe zum Thema: Online Marketing Recht
Wow, Respekt. Da hat sich jemand richtig Arbeit gemacht und viel Wissen kommuniziert. Wie von Dir erwähnt sitzt Du aktuell an der Aktualisierung, weil in der Tat weniges so nicht mehr stimmig ist. Was mir aber neben dem sehr guten Content aufgefallen ist, dass Du keinen Hinweis zum Verarbeitungsverzeichnis gibst. Analog wäre ein Hinweis zur Seuche WhatsApp noch hilfreich. Aber alles in Allem mega cool .. Ich werde mir erlauben einen Link auf diese Seite setzen zu wollen. Kurze Info wäre nett…
Hallo Torsten,
freut mich, dass Dir der Artikel gefallen hat! Stimmt, das Verarbeitungsverzeichnis ist etwas mager ausgefallen, das werde ich noch etwas erweitern bei der Aktualisierung. WhatsApp ist auf jeden Fall auch ein Thema, hier ging es vor allem darum, was auf der eigenen Website zu beachten ist. WhatsApp (und andere Messenger) wäre auf jeden Fall was für einen weiteren Artikel, genau wie Videokonferenzen über Zoom & Co.
Verlinken darfst Du mich natürlich gerne ?
LG Martina
Hallo liebe Martina,
vielen Dank für deinen wertvollen Blogartikel. Wow! Selten so einen tiefgründigen Artikel gefunden. Well done! Meinen Respekt!
Ich habe ein großes Problem und hoffe, dass du mir einen Tipp geben kannst (ich wäre so dankbar!): Ich nutze Leadpages für meine neue Webseite, weil ich damit selbst einfach Gedanken umsetzen kann. Wie kann ich die Leadpages Webseite DSGVO konform machen? Ich nutze auch das Borlabs Cookie für meine alte Wordpress Seite, nur kann ich das nicht für Leadpages nutzen. Ich habe auch schon dem Support geschrieben und die wissen auch nicht weiter.
Viele Online Marketer hier in Deutschland empfehlen Leadpages, aber nirgendwo finde ich, wie ich es DSGVO konform machen kann, so wie es das Borlabs Cookie tut.
Der Support von Leadpages hat geschrieben: „I know for sure that you can’t install a plugin in our HTML widget, but the people that make the plugin might have another tool to allow you to install their tool on non-WordPress sites.“
Kennst du ein anderes Tool? Da so viele Leadpages nutzen, bin ich mir sicher, dass das ein sehr erfolgreicher neuer Blogartikel sein könnte, wenn du für diese Frage eine Lösung hättest…
Ich danke dir von Herzen!
Viele liebe Grüße
Constanze
Hallo liebe Constanze,
Freut mich, dass Dir mein Artikel gefallen hat!
Mit Leadpages kenne ich mich leider nicht aus und ich weiß auch nicht, ob es ein ähnliches Tool dafür gibt wie Borlabs. Wo Du hier aufpassen müsstest, wäre vor allem das Tracking – falls Du Google Analytics oder Facebook Pixel einsetzt, brauchst Du auf jeden Fall ein Cookie Optin. Hier könntest Du stattdessen cookieloses Tracking nutzen, beispielsweise mit Matomo oder eTracker. Falls Du YouTube Videos einbindest, auf jeden Fall die Nocookie-Option nutzen und bei Deinem Email-Marketing-System auf Double-Optin achten.
100% DSGVO-konform wirst Du mit Leadpages allerdings nie sein, da Leadpages in den USA sitzt und er EuGH ja nun das Privacy Shield als unzulässig erklärt hat.
Alternative wäre, die Seite mit WordPress zu betreiben und zum Erstellen der Landingpages einen Pagebuilder wie Thrive Architect oder Elementor zu verwenden.
LG Martina
wow !!! sehr hilfreicher Beitrag vielen Dank.
Warum hast du dich für erecht24 entschieden und nicht für Dr. Schwenke oder Anwaltskanzlei Weiß & Partner?
Gerne!
Ich hatte mich für erecht24 entschieden, weil ich viele eigene Websites betreibe und auch weil ich zu dem Zeitpunkt noch meine Webagentur hatte und Kundenseiten betreut habe. Da wäre eine separate Lizenz für alle Websites wie bei Dr. Schwenke sehr ins Geld gegangen. Nichtsdestotrotz ist der Generator von Dr. Schwenke sehr zu empfehlen und für Betreiber weniger Webpräsenzen ist das Preismodell auch interessanter als erecht24 – wenn es nur um den Datenschutzgenerator geht, zumal er auch ein wenig umfangreicher ist. Am Generator von Weiß & Partner ist auch nichts auszusetzen, als ich mich für erecht24 entschieden hatte, war er noch nicht so umfangreich wie jetzt – durchaus also eine sehr günstige Alternative, wenn es rein um die Datenschutzerklärung geht.
LG Martina
Meinen Dank an die Autorin. Das ist mal so richtig Arbeit gewesen. Ich bin total durch den Wind und werde mir wohl den Rest des Monats Zeit nehmen müssen, um das alles zu sortieren.
Bei den Recherchen zum Thema bin ich über Prive.eu gestolpert. Der Service wird auch von Erecht24 empfohlen. Doch kann ich den Dienst nicht so recht einordnen.
Hat da schon jemand Erfahrungen gesammelt?
Hallo Frank,
freut mich, dass Dir der Artikel gefallen hat! Prive.eu nutze ich selbst nicht, aber vielleicht kann jemand mehr dazu sagen.
LG Martina
Hallo Martina,
absolut genialer Beitrag. Super informativ und sehr ausführlich.
Konnte einiges für mich mitnehmen, danke.
Ich wünsche dir weiterhin viel Erfolg.
Viele Grüße
Marcus
Hallo Marcus!
Danke für Dein tolles Feedback! Freut mich, dass ich Dir mit dem Beitrag ein wenig weiterhelfen konnte!
Viele Grüße
Martina
Das nenne ich mal ausführlich recherchiert, danke für diesen super Artikel!
Für alle aus Österreich kann ich folgenden DSGVO Generator noch empfehlen:
Datenschutzerklärung Generator
Gerne und danke für den Hinweis! Ich habe den Link der Liste noch hinzugefügt.
LG Martina
Nach dem EuGH-Urteil habe ich mich jetzt auch nochmal mit dem Thema beschäftigt und muss sagen, es ist zwar ein nerviges Thema für mich als Online Marketer, es ist aber bei weitem nicht so schlimm, wie es im ersten Moment aussieht.
Habe mich daher auch selber an das Thema begeben und einen Guide geschrieben, welcher gerade für WordPress ausgelegt ist.
Da ich selber zwei Tage an so einem Artikel geschrieben habe, weiß ich wie viel Arbeit du in diesen Artikel gesteckt haben musst.
Gruß
Wolf
Hallo Wolf,
ja, das stimmt – nervig, aber man kann damit leben :-). Du sagst es: der Artikel war schon viel Arbeit 🙂
LG Martina
Kann es sein, dass es auch nicht ganz unproblematisch ist, wenn man „nur“ einen statischen Link zu Facebook auf seine Webseite einbindet?
Ist es möglich, dass Facebook bereits Nutzerdaten oder sein Verhalten auslesen kann, wenn der Nutzer in seinem Facebook-Account zu dieser Zeit bereits angemeldet war?
Müsste der Nutzer bevor er von meiner Webseite auf Facebook gelangt, erstmal abgemeldet werden?
Vielen Dank an alle, die hier nützliche Hinweise haben.
Hallo Stefan,
einen Link sehe ich als unproblematisch, da Facebook erst dann Daten von meinem Nutzer bekommt, wenn er aktiv auf den Link klickt. Bei der Nutzung von Facebook-Plugins sieht das natürlich ganz anders aus. In dem Moment, wo ich beispielsweise eine Like Box auf der Seite eingebunden habe, dann kann Facebook Daten auslesen.
LG Martina
Ist Leitz Cloud DSGVO konform genug?
Hallo Hans,
ich kenne Leitz Cloud leider nicht, aber laut Angaben des Anbieters scheint es ja DSGVO-konform zu sein. Im Zweifelsfall den Anbieter fragen.
LG Martina
Hallo Martina,
vielen Dank für deinen interessanten Artikel. Die DSGVO ist echt ein mühsames Thema…
Mich beschäftigt das Thema Karteneinbindung und da es mit Google Maps zusehens komplizierter wird (auch mit API, Hinterlegung von Kreditkartendaten etc.) dachte ich dass Open Street Map eine Lösung wäre. Weißt du, wie das datenschutzrechtlich hier aussieht bzw. wie man diese konform einbauen kann? Wäre das eine Alternative?
Und noch eine kleine Anmerkung zu deinen Blog-Kommentaren – ich denke es wäre irgendwie userfreundlicher, wenn die neuesten Kommentare ganz oben wären, und auch das Kommentarformular für neue Kommentare nochmal darüber angesiedelt wäre… Aber vielleicht auch nur eine persönliche Vorliebe… 😉
LG Tanja
Hallo Tanja,
Gerne! Zu Deiner Frage: Bei Open Street Map hast Du m.E. ein ähnliches Problem wie mit Google Maps – auch hier werden Inhalte von extern geladen (IP Adressen werden ggf. übertragen) und Du solltest zumindest in Deiner Datenschutzerklärung darauf hinweisen.
Sofern Du Open Street Map mittels iframe einbindest, ist Borlabs Cookie eine brauchbare Lösung.
Danke für Dein Feedback! Stimmt, bei einer so großen Anzahl an Kommentaren macht das auf jeden Fall Sinn! Habe es mir als Anregung genommen und entsprechend umgestellt.
LG Martina
Hallo,
eigentlich ist es doch nun so das Social Plug-Ins wie die von Facebook und Co. garnicht Datenschutzkonform sind (bis zum jetzigen Stand) sind nun die auf dieser Webseite eingebetteten Social Plug-Ins nun legal oder nicht?
Schließlich hab ich weder in eine Datenweitergabe eingewilligt noch wurde ich über eine Datenweitergabe informiert.
Ich bedanke mich im Voraus für eine schnelle Antwort.
LG
Hallo,
diese Seite verwendet an Social Plugins ausschließlich das datenschutzkonforme Plugin Shariff Wrapper (Sharing Buttons auf den Blogbeiträgen), bei dem Daten erst übertragen werden, wenn der Nutzer AKTIV auf einen Button klickt. Bei den Buttons in der Sidebar und im Footer handelt es sich um einfache Links, auch hier werden nur beim aktiven Klick Daten übertragen. Die dazugehörigen Buttons werden mit der Schriftart Font Awesome dargestellt, die lokal auf dem Webserver installiert ist.
LG Martina
da ich derzeit Urlaub und Zeit dafür habe, dachte ich mir, ich richte meinen Blog DSGVO-freundlich ein. Gesagt, getan. Ich bin auch sehr über deinen Beitrag dazu froh!
Besten Dank dafür und ein schönes Wochenende
Hallo Frank, gerne! Freut mich, dass der Artikel Dich weitergebracht hat! LG Martina
Herzlichen Dank für diesen ausführlichen Artikel. Dennoch wirft er für mich nun eine weitere Frage auf. Anderswo (etwa hier: https://regina-stoiber.com/2018/04/12/wann-handelt-es-sich-um-einen-auftragsverarbeiter-auftragsdatenverarbeiter-dsgvo/ ) heißt es, dass mit dem Mail-Provider kein Vertrag zur Auftragesdatenverarbeitung abgeschlossen werden müsse. Sogar mein Mail-Provider selbst (1&1) hat mir das gesagt. Hier lese ich nun Gegenteiliges.
Was ist nun richtig?
LG Anna
Hallo Anna,
danke für Deinen Kommentar und den Hinweis. Das ist natürlich richtig, sofern nur der reine Emaildienst genutzt wird. Ich habe es entsprechend geändert. In der Regel benötigst Du hier keinen AV-Vertrag, sofern der Emaildienst nur zur reinen Nachrichtenübermittlung genutzt wird. Demnach wäre der Email-Dienstleister ein reiner TK-Dienstleister. Sollten jedoch weitere Dienste genutzt werden, kann es nötig sein, AV-Verträge abzuschließen (z.B. Google Drive). Reine Email-Anbieter benötigen demnach keinen AV-Vertrag, sollten aber im Verarbeitungsverzeichnis aufgeführt sein. Bei Email-Marketing-Systemen wie Mailchimp, ActiveCampaign etc. ist natürlich ein AV-Vertrag nötig.
LG Martina
Super. Vielen herzlichenDank für die Antwort. Wenigstens ein Punkt, der sicher abgehakt ist. 😉
Vielleicht kannst du mir auch meine dringendste Frage beantworten, die mich gerade umtreibt – bisher wollte das nämlich niemand machen. Ist es möglich, auf wordpress.com DSGVO-konform zu bloggen? Kommentarfunktion gibt es nicht, Kontaktformular oder Sharing-Buttons auch nicht. Es ist quasi alles abgeschaltet, was ich abschalten kann, sogar Aksimet. Aber da bliebe eben wordpress.com-Stats. Darauf habe ich keinen Einfluss, nicht mal nach einem Upgrade von der Free- auf die persönliche Version.
Was nun? Darauf hoffen, dass man, wenn sonst alles korrekt ist, mit einem blauen Auge davon kommt? (Das wäre mein Plan A, weil ich derzeit nicht selbst hosten kann und mag.)
Liebe Grüße,
Anna
Hallo liebe Anna,
ich kann Dir diese Frage leider auch nicht beantworten 🙁 Die WordPress.com Stats sind leider meiner Meinung nach immer noch nicht ganz DSGVO-konform. Problematisch sehe ich, dass sich die IP Adressen nicht anonymisieren lassen.
Liebe Grüße
Martina
Hallo Martine,
danke für diesen umfangreichen Artikel und die Beantwortung der ganzen Fragen. Das hat für mich noch einmal einige Unklarheiten beseitigt. Vielen Dank!
Hallo Marie,
gerne! Freut mich, dass ich helfen konnte!
LG Martina
Hallo Martina,
Vielen Dank für deinen Artikel.
Eine Frage habe ich allerding schon noch. Ich habe einen persönlichen Blog auf Facebook (Präsentation genähter Sachen). Es wird nichts gewerblich angeboten oder sonstiges.
Muss ich da auch die ganzen Vorgaben beachten?
Viele Grüße
Anna
Hallo Anna,
Du meinst eine rein private Fanseite bzw. Profil? Wenn sie rein privat (Profil) ist, dann betrifft Dich die DSGVO nicht. Was anderes wäre es, wenn Du z.B. Affiliate-Programme bewirbst (auch wenn die keinen Umsatz machen) oder Du von Firmen kostenlos Produkte zur Verfügung gestellt bekommst, um sie auf der Seite zu promoten. Wenn Du aber beruflich Näherin bist und Du gewinnst über die Präsentation der Artikel Kunden, sieht es womöglich wieder anders aus.
Viele Grüße
Martina
Hallo Martina,
Vielen Dank für deine Hilfe.
Genau, es ist eine rein private Fanpage (eingestuft als persönlicher Blog). Ich bekomme keine Produkte zur Verfügung gestellt und mit Affiliate-Programmen mach ich auch nix. Ich teile auf dieser Seite mein Hobby mit anderen. Also ich nähe weder Hauptberuflich, noch als Nebenerwerb.
Gerne! Womöglich musst Du aber auch bei einer privaten Fanpage einen Datenschutzhinweis einfügen. Ganz unproblematisch ist lediglich das private Profil. Schau mal hier im Artikel von Dr. Schwenke: https://allfacebook.de/policy/eugh-urteil
Sabrina Keese-Haufs von Lawlikes hat eine kostenlose Vorlage für Fanpages und Gruppen zur Verfügung gestellt: https://lawlikes.de/fbdse/
Liebe Grüße
Martina
Hallo Martina,
zunächst einmal vielen Dank für Deine weitrechenden Informationen.
Ich habe hierzu ein paar Fragen.
Wie verhält sich bezogen auf die DSGVO das verschicken genereller Angebote per E-Mail.
Ich bin Immobilienmakler und versende teilweise einzelne Exposés an bestimmte Kunden oder Interessenten, die anhand ihres Suchprofils für diese bestimmten Objekte infrage kämen. Gilt eine solche E-Mail ebenfalls als „Newsletter“ oder wie ist eine solche E-Mail zuzuordnen? Benötigen ich hier ebenfalls Einwilligungen um solche Angebote versenden zu dürfen? Muss eine solche E-Mail mit einem Einzelangebot ebenfalls wie bei einem Newsletter einen Button zwecks „Abmeldung“ beinhalten? Auf den jeweiligen Homepages großer Investoren stehen z.B. Ankaufsprofile mit der Aufforderung, Exposés mit Objekten gerne an das Unternehmen per E-Mail zu senden (Investoren sind auf die Angebote der Makler angewiesen). Hier besteht aus meiner Sicht eine klare Aufforderung der Zusendung vor. Benötigt man hier trotzdem vorab eine Einwilligung bezüglich der Datenspeicherung? Des Weiteren habe ich gelesen, dass ich bei juristischen Personen (GmbH, AG, GbR etc.) keine Einwilligung benötige. Stimmt das? Denn wie verhält es sich bei den E-Mailadressen einzelner Mitarbeiter einer z.B. großen GmbH oder AG? Beispielhaft mueller oder schmidt@telekom.de bezogen auf deren personenbezogene Daten? Ist es dann personenbezogen oder vertritt dieser Mitarbeiter die juristische GmbH oder AG und ich benötige keine Einwilligung?
Gibt es eigentlich einen Datenschutzgenerator um eine normale allgemeine Datenschutzerklärung zu generieren, der nicht auf eine Homepage bezogen ist?
Dankeschön für Deine Hilfe und Meinung.
Beste Grüße
Steffen
Hallo Steffen,
ich versuche mal einige Deiner Fragen zu beantworten. Allerdings werde ich Dir da leider nicht viel helfen können, da ich keine Juristin bin.
Also zunächst einmal zur juristischen Person: sofern es sich um Mailadressen wie info@gmbh.de handelt, würde ich sagen Du brauchst keine. Allerdings wenn konkrete Namen/Mailadressen von Mitarbeitern vorliegen, wären das ja personenbezogene Daten.
Zu den Exposés: Wie läuft das bei Euch ab? Sind die Interessenten auf Deinem Portal registriert? Meiner Meinung nach könnte das unter Art. 6 lit. b) Vertragserfüllung fallen. Du musst ja ihre Daten verarbeiten, um den Vertrag zu erfüllen.
Bei den Investoren würde ich auch von Vertragserfüllung bzw. -anbahnung ausgehen.
Einen solchen Datenschutzgenerator kenne ich nicht, aber die gängigen Generatoren enthalten ja auch allgemeinen Hinweise zu verantwortlicher Stelle, Informationspflichten, Betroffenenrechten etc.
Genaueres kann Dir aber wohl nur ein Anwalt sagen.
LG Martina
Danke! Super Hinweise!
Gerne! 🙂
noch ein Datenschutzerklärung-Generator:
https://www.ratgeberrecht.eu/leistungen/muster-datenschutzerklaerung.html
Danke für den Tipp! Habs gerade aktualisiert und noch den von WBS Law dazu genommen.
Hallo Martina, danke für den guten Artikel. Insbesonders der Tip mit dem „cookie-JAVA-Script“ von Cookie consent by Insites“ schien hilfreich: Das Script für den Cookiebanner war auf deren Seite schnell erstellt.
Doch dann schreibst Du: „baust das Script einfach in den -bereich deiner Seite ein …“ Mir ist nicht klar, wo und wie ich das in meinem DIVI-Childtheme mache. Wird das Script einfach bei „Benutzerdefiniertes CSS“ eingefügt??? Da steht ja schon einiges drin – davor? Dahinter? Oder gar woanders…?
Hast Du da einen Tip?
Danke + Gruß Friedrich
Hallo Friedrich,
danke für Dein Feedback! 🙂
Nein, der Code kommt nicht ins CSS, sondern direkt in den Head-Bereich Deines Themes.
Bei DIVI geht das recht einfach: Divi -> Theme-Optionen -> Integration -> Code dem Ihres Blogs hinzufügen
(Header Code muss aktiviert sein).
LG Martina
Perfekt, hat funktioniert – zumindest im zweiten Versuch mit dem Cookiebanner als „Block von rechts“ – vorher wurde er durch das Headermenü verdeckt. Kann man sicher auch irgendwo einstellen ..
Sensationell schnelle Antwort! Vielen Dank!!
Super, freut mich, dass es geklappt hat!
LG Martina
Hallo Martina,
ein Tag vor der DSGVO :O hast du etwas zu Yahoo noch herausgefunden bzgl. AV?
Welchen E-Mail Anbieter kannst du empfehlen, der unkompliziert einen AV bietet? Oder ist die beste Lösung über den Website Hoster?
Hallo Veronika,
zu Yahoo habe ich nichts weiter herausgefunden. Als Alternative der Webhoster oder, wie vor kurzem hier auch in einem Kommentar gepostet wurde: https://mailbox.org/ Bei den Freemail Anbietern dürfte es schwierig werden, da diese sich ja eher an Privatkunden richten.
LG Martina
Hallo,
lieben Dank für die vielen tollen Tipps bzgl. DSGVO und die Umsetzung der Verordnung 🙂
Ich habe eine Frage dazu, da ich die Information hier nicht finden konnte: wenn man bspw. als Verein neben seiner Homepage noch eine Facebookseite betreibt, auf der regelmäßig über anstehende Feste und Veranstaltungen des Vereins informiert wird – was muss ich wie und wo tun, um den FB Auftritt DSGVO konform zu gestalten? Das habe ich als Info hier vermisst. 🙂
Lieben Dank und viele Grüße
Hallo Angelika!
Erstmal vielen Dank für Dein tolles Feedback! Zu Deiner Frage: das ist wieder ein Thema für sich 🙂 Hier ging es vor allem erstmal um die Website, weil das mein Spezialgebiet ist.
Aber da ich auch Vorstandsmitglied in einem Verein bin, befasse ich mich auch ein wenig mit dem Thema 😉 Bei der Facebook Seite würde ich darauf achten, dass Impressum und Datenschutzerklärung verlinkt sind (FB hat neuerdings unter Info einen Reiter, in dem man die Datenschutzerklärung verlinken kann). Auf der Homepage im Impressum und der DSE dann schreiben, dass die auch für FB gelten (siehe bei mir hier auf der Seite).
Bei Bildern von Veranstaltungen würde ich mir die Einwilligungen der Mitglieder holen, die abgebildet sind (BEVOR das Bild online geht) und bei Minderjährigen die Einwilligungen BEIDER Eltern (bei Minderjährigen ist das sowieso ein heißes Thema). Und auch wenn ich einem Mitglied zum Geburtstag gratulieren möchte, würde ich das auf der öffentlichen FB Seite nur mit Einwilligung des Mitglieds tun – ansonsten lieber eine Mail oder eine Karte per Post schicken 😉
Und wie immer der Hinweis: das ist natürlich keine Rechtsberatung 😉
LG Martina
Hallo,
Ich habe einen instagram Account, wo ich auch Bilder poste, die von anderen Fotografen kommen. Erwarten mich da auch Konsequenzen? Ich möchte diese Seite auch ungern löschen. Ich habe sie auch schon auf privat gestellt. Könnte mich trotzdem was erwarten?
Hallo Jessi,
das betrifft jetzt weniger die DSGVO als mehr das Urheberrecht. Du solltest natürlich nur solche Bilder posten, bei denen Du auch sicher sein kannst, wer der Urheber ist und wo Du eine Erlaubnis hast, diese zu nutzen.
LG Martina
Hallo Martina,
sehr gute Zusammenstellung und nicht unbedingt üblich, das frei darzulegen, top!
Ich bin interner DSB eines IT-Unternehmens, wenn Du Fragen hast, kannst Du Dich gerne melden (auch hier natürlich, ich bin keine Rechtsberatung).
Gruß
Rüdiger Grimm
Hallo Rüdiger,
vielen Dank für das Lob und danke für das Angebot!
Liebe Grüße
Martina
Hallo Martina,
vielen Dank für diesen tollen Beitrag, dieser ist sehr hilfreich!
Ich hätte allerdings noch eine Frage und finde hierfür leider nirgends Info online.
Vielleicht kannst du ja helfen.
Man muss ja mit allen Anbietern, mit denen man zusammen arbeitet, einen AV bzw. einen ADV Vertrag abschließen. Die meisten die ich nutze konnte ich bereits kontaktieren. Mein großes Problem ist aber Yahoo. Ich nutze Yahoo für meinen Email Vekehr und ich finde einfach keine Kondaktinformation oder Infos zu den Verträgen. Hast du da Erfahrung oder Ideen?
liebe Grüße Saskia
Hallo Saskia,
Danke für dein Lob, freut mich, dass ich helfen konnte! :-.) Zu Yahoo weiß ich leider auch nichts. Bei Free Mail Anbietern ist es in der Regel schwierig denke ich. Bei Gmail beispielsweise gibt es nur im Business Account einen AV Vertrag und GMX bietet gar keinen an. Ggf. Yahoo nur noch für private Mails nutzen und für geschäftliche Mails einen anderen Dienst bzw. eine eigene Emailadresse, die an die eigne Domain gekoppelt ist (dann bräuchtest Du einen AV mit dem Hoster).
LG Martina
Hallo Martina,
danke für deine schnelle Antwort.
Dann muss ich wohl oder übel wechseln, obwohl ich mit Yahoo einfach am besten klar gekommen bin. Echt richtig blöd das ganze.
liebe Grüße Saskia
wenn du Mails nicht über eine eigne Domäne abwickeln kannst oder willst, empfehle ich dir für kleines Geld den deutschen Anbieter mailbox.org:
https://mailbox.org/wichtig-was-aendert-sich-mit-der-neuen-datenschutz-grundverordnung-bei-mailbox-org/
Dort wird Sicherheit und ‚Privacy‘ generell GROSS geschrieben 😉
DANKE, DANKE, DANKE.
Einfach nur Spitze. Genau das habe ich gebraucht – nochmal DANKE, so eine Zusammenstellung kostet ja jede Menge Mühe!
Eine Frage hätte ich noch: Viele (meist zu kaufende) Themes in Wordpress bieten Icons an (diverse, jenseits der Emojis). Diese werden ja überall für Feature-Auflistungen (u.a.) eingesetzt. Das ist nach meinem Verständnis auch nicht mehr ok, da sie einer Schrift entstammen, die aus dem Netz geladen wird? Also Dritter im Hintergrund? Hmmm… also müsste ich das runterladen und manuell einbinden? Was sagst du generell zu den Google Fonts? (oder hab ich da was überlesen…dann bitte ein kurzer Hinweis, wo es war…).
Liebe Grüße
Anja
Hallo Anja,
danke für dein Lob!
Zum Thema Google Fonts hast Du recht: da bin ich in diesem Artikel gar nicht so explizit darauf eingegangen. Muss es noch einmal nachpflegen. Dafür gilt das gleiche wie für YouTube Videos etc., da hier auch externe Inhalte eingebunden werden.
Für Icon Fonts gilt das gleiche wie für Google Fonts: auch diese übertragen Daten (IP Adresse). Sie können i.d.R. genauso lokal eingebunden werden wie Google Fonts. Bei manchen Themes und Pagebuildern ist es aber teilweise gar nicht so einfach, das lokal zu lösen, in diesem Fall würde ich zumindest einen Hinweis in die Datenschutzerklärung aufnehmen.
Liebe Grüße
Martina
…vielen lieben Dank! LG, Anja
Hallo, ich selbst bin Blog-Betreiber und sehr verunsichert, was die Thematik angeht. Ich schätze, dass ich die Kommentare ausstellen werde.
Hallo,
Kommentare sind ja weiterhin erlaubt. Du solltest hier auf jeden Fall schauen, dass Du entweder die IP Adressen von vornherein nicht speicherst oder begründest, warum Du sie doch für einen bestimmten Zeitraum speicherst (Anti-Spam-Schutz, rechtsverletzende Inhalte etc.). Ein Hinweis bei den Kommentaren auf die Datenschutzerklärung, und die Kommentarfunktion in die Datenschutzerklärung mit aufnehmen. Gravatar deaktivieren und SSL einrichten (kein Formular ohne SSL!).
Aber wenn Kommentare auf Deiner Seite eh nicht so wichtig sind, ist die (vorläufige) Deaktivierung natürlich auch eine Option. Mir sind sie z.B. hier auf der Seite wichtig, auf anderen Seiten (wie z.B. unserer Vereinshomepage) habe ich sie von jeher abgeschaltet (spart natürlich auch den Aufwand für die Moderation 😉 )
LG Martin
hallo Martina,
danke für deine Erkenntnisse, welche du mit uns teilst 🙂
Das Social Sharing & Social Plugin „Mashshare“ ist ebenfalls DSGVO konform:
Zitat:
„Does this plugin sends any personal user data to you or to Facebook, Twitter etc.?
No, there is no personal data send to Facebook, Twitter, Google and other services. There is also no data which goes to my hands that includes any IP or other data. The big advantage of using this Mashare Share buttons is the independance in comparision to other plugins which creates steady connections to Facebook and Co. So there is no IP based data send to the social networks or to sharedcount.com.“
Zitat Ende.
Zu finden hier: https://de.wordpress.org/plugins/mashsharer/
Besten Gruß,
Bernd
Hallo Bernd,
gerne! Das Plugin schaue ich mir mal an, danke für den Hinweis!
Ich denke, da wird jetzt auch der ein oder andere Plugin-Entwickler nachziehen 🙂
LG Martina
Hallo Bernd,
ich habe mir das Plugin mal angeschaut. Der Entwickler sagt zwar, es werden keine Daten übertragen, allerdings lädt das Plugin den Facebook Social Graph, wodurch doch Daten übertragen werden. Ist also derzeit nicht zu empfehlen.
LG Martina
Hallo Martina,
wir wollen für unsere Firma bald einen Instagram-Account erstellen. Wenn wir kein Kontaktformular auf der Seite einrichten, keine iFrames nutzen und nichts tracken – was müssen wir beachten? Kommentarfunktionen und direct message wollen wir ebenfalls nicht nutzen, also von Vornherein abschalten.
Es wird ja auch öfter von dem „Eiffelturm-Beispiel“ gesprochen, dass nur bestimmte Inhalte gepostet werden dürfen. Was müssen wir denn zu den geteilten Inhalten beachten? Wir werden keine Personen posten.
Hast Du Quellen für mich, wo ich dazu Genaueres lesen kann?
Danke für Deine Hilfe und liebe Grüße
Lisa
Hallo Lisa,
Auch wenn ihr auf der Website weder Tracker noch Kontaktformular habt, braucht ihr trotzdem eine Datenschutzerklärung. Die ist dann eben weniger umfangreich. Aber es werden ja trotz allem personenbezogene Daten erfasst / verarbeitet, nämlich über IP oder auch wenn euch jemand über Email kontaktiert.
Der Instagram-Account: hier solltet ihr sowieso einen Link zum Impressum einbauen (und auf der Website dann erwähnen, dass das Impressum auch für Instagram gilt). Zum Thema Inhalte: da spielt ja nicht nur die DSGVO eine Rolle (Posten von Bildern mit Personen), sondern auch das Urheberrecht.
Schau mal hier zu dem Thema: https://www.wko.at/service/unternehmensfuehrung-finanzierung-foerderungen/eu-dsgvo-soziale-netzwerke-faq.html
https://www.e-recht24.de/artikel/urheberrecht/8375-das-copyright-der-gulaschsuppe.html
LG Martina
Vielen Dank
Gerne!
Wirklich gut gemacht. Hier noch ein Link mit sinnvollen AV-Verträgen (als Content Update): https://www.blogmojo.de/av-vertraege/
Viele Grüße
Steffen
Danke Steffen!
Stimmt, der Link passt da gut rein. Habs bei den Drittanbietern verlinkt.
LG Martina
Hallo Martina,
erst einmal vielen Dank für den super ausführlichen und interessanten Artikel.
Wieso ist der Abschnitt bzgl. der Aktivierung / Zustimmung für die Abgabe eines Kommentars gestrichen? Ist das nicht mehr aktuell oder?
Viele Grüße.
Sven 🙂
Hallo Sven,
das hatte ich gestrichen wegen der Checkboxen, weil die nicht unbedingt erforderlich sind. Werde es vielleicht nochmal etwas anders schreiben, evtl. ist das sonst zu missverständlich so…
LG Martina
Liebe Martina,
darf ich noch einmal nachfragen, ob diese Checkboxen bei der Eingabe eines Kommentars erforderlich sind oder nicht? Ganz herzlichen Dank, auch für diese so unglaublich nützliche Übersicht!
Hallo Okka,
Sehr gerne. Danke für dein Lob! Checkboxen sind eigentlich keine Pflicht in der DSGVO. Es muss nur ein Hinweis auf die Datenschutzerklärung dazu. Manche Anwälte empfehlen allerdings eine Checkbox (z.B. erecht24), andere raten davon ab (z.B. siehe hier: https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/)
Wer auf Nummer sicher gehen will, baut eine Checkbox ein. Allerdings macht das WP seit dem Update auf 4.9.6 nun auch automatisch. Ich habe noch dazu einen Link zur Datenschutzerklärung in die Nähe des Formulars gepackt.
LG Martina
hallo martina,
vielen vielen dank erstmal für deine infos
Hallo martina,
ich habe vor einigen jahren webseiten für freunde gestaltet, fast ausschließlich künstler, die ihre arbeiten präsentieren und für eine befreundete firma.
die seiten arbeiten ohne datenbanken, haben keine cookies, kein kontaktformular, kommentarmöglichkeiten, newsletter usw. – es werden keine personenbezogenen daten abgefragt , sind im ganz einfachen html geschrieben – es wurde nie eine ssl verschlüsselung bei einem server beantragt.
bei der firmenhomepage sind lediglich über kleine grafiken links zu google +, facebook und einem onlineshop gesetzt (weiterleitung).
jetzt muss ich die datenschutzerklärungen für diese webseiten neu formulieren
die webseiten liegen bei verschieden hostern bzw. auf verschiedenen servern
meine fragen :
1.
ip_adresse ..
müssen jetzt mit den verschiedenen hostern vertraege zur Auftragsdatenverarbeitung geschlossen werden oder reicht eine einfache erklärung „Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log Files….“ in der datenschutzerklärung mit dem verweis der rechte des betroffenen/users zu Auskunft, Löschung, Sperrung dieser daten?
2.
email ..
muss in der DSGVO auf eingehende emailanfragen von nutzern eingegangen werden? -die internetauftritte haben kein kontaktformular – ich meine lediglich den fall, wie bei eingehenden eamil-anfragen mit daten umgegangen wird —
das betrifft die webseite für die firma aber auch evtl. die künstlerseiten
3. wie ist das mit der verlinkung zu facebook und google+ (keine plugins)–
das sind jeweils nur weiterleitungen – muss ich in der datenschutzerklärung darauf eingegegangen werden?
Über eine antwort würde ich mich sehr freuen – habe gestern erst angefangen mich mit dem thema zu beschäftigen,
lg karsten
Hallo Karsten,
zu Deinen Fragen:
1) Ja da brauchst Du beides – Datenschutzerklärung und AV-Vertrag mit Hoster. Denn auch auf einfachen HTML-Seiten ohne Cookies und ohne Tracker werden personenbezogene Daten übertragen – nämlich die IP Adresse.
2) Ja, dafür hast Du ja den allgemeinen Passus zur Kontaktaufnahme. Schau Dir mal den Generator von Dr Schwenke dazu an: https://datenschutz-generator.de/ Abschnitt „Registrierung, Kontakt, Blogs“
3) Dr. Schwenke geht in seinem Generator im Abschnitt „Social Media, Tools und fremde Inhalte“ kurz darauf ein. Du brauchst aber jetzt nicht jeden Link in die Datenschutzerklärung mit aufnehmen.
Wenn keine Formulare auf der Seite sind, brauchst Du im Prinzip auch kein SSL – nur ohne SSL keine Formulare 🙂
Wie immer mein Disclaimer: Das stellt jetzt natürlich keine Rechtsberatung dar 😉
LG Martina
hallo martina, vielen dank für deine schnelle antwort,
lg
karsten
Wow, meine Lebensretterin! Vielen Dank für diesen super guten Artikel. Solch eine brauchbare Zusammenfassung habe ich bisher noch nicht gefunden. Da habe ich am Wochenende noch was zu tun.
LG Wendy
Hallo Wendy!
Vielen Dank für Dein Lob! Freut mich, dass ich Dir hier ein wenig helfen konnte!
LG Martina
Vielen Dank für die zahlreichen und hilfreichen Infos!
Zu Google Analytics habe ich auf anderen Seiten gelesen, dass der Dienst ab dem 25. Mai nur noch nach Opt-In verwendet werden darf (Positionspapier über die weitere Anwendbarkeit des Telemediengesetzes durch die „Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz)“ von Ende April 2018). Ist das so bzw. weißt Du mehr darüber? Das wäre ja das Ende von Google Analytics, denn wer setzt schon freiwillig einen Haken bei „Ja, ich möchte von Google Analytics getrackt werden“. Und wie ist es bei anderen Statistik-Tools wie z.B. AWStats oder Piwik, welche das access.log des Providers auswerten? Auch nur noch nach Opt-In einsetzbar?
Habe eben noch zu Google AdSense recherchiert, auch hier scheint es, als ob Werbeanzeigen nur noch nach Opt-In – also mit Zustimmung des Users – geschaltet werden dürfen. Da dürften die Erlöse über Google AdSense ganz schön einbrechen…
Hallo Frank!
Danke für das Lob! Schau mal, zu Google Analytics habe ich tatsächlich gerade einen neuen Blogartikel verfasst. Ich würde jetzt zwar sagen, dass es durchaus einen Unterschied zwischen Piwik und Analytics gibt, da man Piwik ja auch ohne Cookies nutzen kann. Wird allerdings Piwik mit Cookies genutzt, würde ich sagen, ja, besser Opt-In. AWStats oder Webalizer kommen ohne Cookies aus, hier sollten ggf. beim Hoster die IP Adressen anonymisiert werden. Aber ohne Cookies ist auch kein Cookie Opt-In nötig. Ich werde jedenfalls eine Optin-Lösung implementieren (Borlabs Cookie oder WP DSGVO Tools, das ich ja schon auf einer anderen Seite einsetze).
Ja, mit AdSense schauts echt übel aus…
LG Martina
Liebe Martina,
Vielen Dank für diese ausfürhrlichen Infos – vor allem die Erklärung für Youtube fand ich sehr hilfreich!
Was mich aktuell noch beschäftigt ist Instagram. Ich habe ein „normales“ Instagram-Widget bei mir eingebunden, was nur statische Bilder anzeigt (kein iframe o.ä.), aber es lädt eben die Bildern von Instagrams CDN dynamisch, wobei die IP-Adresse übertragen wird.
Darf ich die noch verwenden, wenn ich es in der Datenschutzerklärung deutlich mache oder müssen die Widgets erstmal raus?
Danke dir!
Liebe Grüße,
Julie
Hallo Julie,
Danke für Deinen lieben Kommentar! Was ist das für ein Widget? Falls wirklich nur die Bilder übertragen werden, sehe ich hier rein technisch keinen Unterschied zu der No-Cookie-Variante von YouTube oder dem Laden von Google Fonts. Ich würde auf jeden Fall in der Datenschutzerklärung darauf hinweisen.
Liebe Grüße
Martina
Hallo Martina,
über XING bin ich zu Deinen Informationen gekommen – dafür erstmal herzlichen Dank für die detaillierten Ausführungen!!! Leider verstehe ich sehr viele technische Begriffe nicht, mir ‚raucht‘ der Kopf davon und katapultiert mich fast in die Verzweiflung!! Daß ich eine Datenschutzerklärung auf meiner website, und von allen Unterseiten erreichbar, haben muß, hab ich verstenden (danke!), aber in welcher Ausführlichkeit? Den Verarbeitungsvertrag mit meinem webhoster, ssl-Verschlüsselung ist gemacht.Meine einfache website als Schauspielerin hat aber weder Kontaktformular noch Newsletter, ich verwende auch keine cookies (?) meines Wissens, ich verkaufe nichts, noch speichere ich irgendwelche Daten meiner Besucher. Die sind ja dann durch mein webhostervertrag geschützt. Da muß ich doch nicht so ellenlange Erklärungen abgeben? Kann man diese selbst formulieren, oder ist es besser, was vorgefertigtes, standartisiertes zu verwenden? Von Dr. Schwenke hab ich sie gelesen, aber das trifft in der Ausführlichkeit garnicht auf meine website zu? Ich bin ja nicht mal ein kleinunternehmer? Ich habe Angst, durch meine Unkenntnis den Abmahnanwälten ausgeliefert zu sein… Für eine Antwort wäre ich sehr dankbar! LG Margarete
Liebe Margarete,
also wenn es sich bei der Website um die von Dir hier im Kommentar verlinkte handelt, dann brauchst Du tatsächlich nicht viele Angaben zu machen. Denn außer Logfiles vom Hoster wird hier nichts an personenbezogenen Daten erhoben. Auf die solltest Du aber hinweisen. Da es eine rein statische Website ist, die wirklich nichts von externen Quellen lädt, werden hier weder Daten an andere übertragen noch Cookies gesetzt. Im Prinzip brauchst Du für diese Seite nicht mal SSL. Da Du die Verschlüsselung nun aber schon gebucht hast, würde ich dafür sorgen, dass SSL erzwungen wird, wenn die Seite aufgerufen wird. Sonst ist Deine Seite unter 2 verschiedenen URLs erreichbar (verschlüsselt und unverschlüsselt), das mag Google nicht. Frag mal Deinen Hoster, ob er Dir das einrichten kann.
In eine Datenschutzerklärung sollte u.a. immer rein:
– der Verantwortliche (also in dem Fall du)
– Rechtsbelehrung
– welche Vorgänge finden auf welcher Rechtsgrundlage statt?
– wie lange werden die Daten gespeichert?
– werden die Daten an Dritte weitergegeben?
– welche Rechte habe ich als Betroffener?
– Hinweis auf das Beschwerderecht
Nimm Dir die Datenschutzerklärung von Dr. Schwenke, klicke nur dort wo es auf Dich zutrifft auf ja und baue die in Deine Seite ein.
Ich hoffe, ich konnte Dir ein wenig weiterhelfen.
LG Martina
Hinweis: Das stellt natürlich keine Rechtsberatung dar, nur meine persönliche Meinung.
Liebe Martina,
vielen, vielen herzlichen Dank!! Deine Antwort verhilft mir zur Klarheit, was ich tun muß! (Natürlich mit der Einschränkung, daß sie Deine Meinung ist).
Danke! Margarete.
Hallo Margarete,
super! Das hört sich doch gut an!
LG Martina
Eine Frage: Bei einem Kontaktaufnahme muss/soll ja eine Checkbox a la „Mit der Nutzung dieses Formulars erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden.“ vorhanden sein.
Muss die auch bei einer Newslettereintragung vorhanden sein? Denn ich wüsste spontan nicht, wie ich das über Wordpress realisieren kann.
Danke.
Hallo Carsten,
das mit den Checkboxen ist nicht unbedingt Pflicht. Darüber gibt es gerade einige kontroverse Meinungen. Hör Dir dazu mal den Podcast von Rechtsanwalt Stephan Hansen-Oest an: Braucht mein Kontaktformular jetzt eine Checkbox?. Der Schuss mit der Checkbox kann nämlich auch nach hinten losgehen, wenn eine Einwilligung gefordert wird. Was die Umsetzung angeht: das ist vom jeweiligen Plugin / Widget des Newsletteranbieters abhängig. Beaver Builder z.B. hat mittlerweile eine Checkbox integriert und auch Mailchimp bietet Formulare mit Checkboxen an. Auch andere Anbieter haben das integriert, z.B. Gravity Forms oder Ninja Forms.
Ich schreibe übrigens gerade an einem Blogbeitrag dazu 🙂 , wo ich auch auf verschiedene Plugins eingehe. Aber Pflicht ist eine Checkbox nicht – und ich werde sie auch nicht anwenden bzw. dort, wo ich sie eingefügt habe, wieder rausnehmen. Dennoch ist es natürlich gut zu wissen, wie man eine realisiert, sollte man doch eine brauchen. 😉 Nur eins ist wichtig: Solltest du Checkboxen einsetzen, dürfen die nicht vorab angeklickt sein.
Ich hoffe, ich konnte Dir ein wenig weiterhelfen.
LG Martina
Liebe Martina,
trotz Deines umfangreichen und informatinven Artikels, für den ich mich herzlich bedanken möchte, habe ich noch eine Frage.
Im Grunde hast Du sie schon fast beantwortet, es macht sich nur gerade ein „das nicht auch noch“ in mir breit 😉
Das Einbetten von Instagram-Bildern, mittels Iframe, löst genau das Fließen von Daten aus, wie bei alle andern Drittanbieter auch. Das findet ja bei großen Magazinen aus bekannten Verlagen genauso statt, wie bei kleineren Blogs.
Mir scheint es so, dass besonders die Google Produkte inkl. Youtube eine Vorkehrung geschaffen haben, die Facebook Produktfamilie dieses Thema aber vernachlässigt.
Um auf den Punkt zu kommen: eingebettete Instagramies auf der Website sollte man ab 25.5. unterlassen und warten, ob es danach von Instagram eine Lösung gibt.
Alle schon bestehenden Einbindungen muss ich löschen oder? Oder?
Vielen lieben Dank für Deine Mühen.
Ulrike
Hallo Ulrike,
genau, der iframe von Instagram fällt da auch drunter. Manche Widgets sind da kritischer als andere. Bei dem einen werden nur Bilder geladen (dann wird immerhin die IP übertragen), bei anderen lässt sich da noch mehr tracken, wenn z.B. der Nutzer eingeloggt ist bei Instagram oder Facebook.
Und da hast Du ganz recht, die Google Produkte (vor allem YouTube & Analytics) sind da schon weiter als Facebook & Co. Auch Vimeo hat sich bisher nur unzureichend zu dem Thema geäußert.
Mir ist derzeit auch nur ein Plugin bekannt, das mit der iframe Problematik umgehen kann und die erst nach Klick auf einen Button nachlädt, nämlich Borlabs Cookie.
Im Zweifelsfall würde ich erstmal auf diese Widgets verzichten, bis es eine Lösung dafür gibt.
Freut mich, dass ich ein bisschen helfen konnte 🙂
LG Martina
Hey Martina,
Wow, super Artikel. Auf den Punkt gebracht und trotzdem sehr ausführlich. Hat mir sehr weitergeholfen.
Danke
Liebe Grüße
Thomas
Danke Thomas! Freut mich, dass ich helfen konnte!
LG Martina
“Borlabs Cookie“ funktioniert nur in Verbindung mit JS-Schnipseln welche die externe Funktionalität einbetten, also bei bereits in Themes/Plugins integriertem JS nutzlos.
danke für den Hinweis!
Ich muss leider sagen, dass ich mit den ganzen Plugins und Codeänderungen überfordert bin. Jetzt nicht von der technischen sondern von der praktischen Seite her. Ich muss ja auch sicherstellen, dass die ganzen Modifikationen laufen. Auch nach einem WP-Update, was auch ein dringendes Sicherheits-Update sein kann. Und wenn die Plugins dann nicht laufen, muss ich das sofort lösen können. Das kann ich jedenfalls nicht. Daher werde ich mein Blog dichtmachen im Mai und auf einen sicheren Weg warten.
So wie ich das sehe, treibt der Gesetzgeber die Leute mit der DSGVO zu Datenkraken wie fb, dann machen die halt da ihre Website auf. Und fb bekommt noch mehr Nutzerdaten.
Hallo Marc!
Das ist schade. Ich würde an Deiner Stelle die kritischen Plugins (Social Share Buttons außer Shariff, JetPack) weglassen, notfalls Kommentare und Gravatar abschalten (das erfordert weder Code noch Plugins) und vor allem die Datenschutzerklärung anpassen. SSL nicht vergessen.
LG Martina
Hut ab! Einer der informativsten Beiträge zum Thema DSGVO. Darin steckt sicher viel Recherche- und Interpretationsarbeit. Danke sehr.
Hallo Axel!
Vielen Dank für das Lob!
LG Martina
„Diese bösen kleinen Kekse…“ ist wohl bzw. hoffentlich ironisch gemeint…
ja richtig 🙂
freies WP Cookie Plugin mit ‚Opt-In‘ Option: „Ginger – EU Cookie Law“
https://de.wordpress.org/plugins/ginger/
Danke! Ich habs bei den Cookie Plugins verlinkt!
Hi Martina,
danke für den tollen Artikel. Er bringt Licht ins Dunkel 😉
Eine Frage zum Double-Opt-In: Setzt das Verfahren nicht auch erst eine Bestätigung via Checkbox voraus und dann im zweiten Schritt die Bestätigung nach Erhalt einer Mail?
Liebe Grüsse
Mel
Hallo Mel,
danke für Dein Feedback! Ich freue mich, dass ich ein wenig zur Aufklärung beitragen konnte.
Das Double-Optin ist zunächst einmal nur die Bestätigung nach Erhalt einer Email.
Was die Checkbox angeht, bin ich auch noch nicht 100% sicher, ob die wirklich mit rein müssen. Was auf jeden Fall nicht mehr sein darf, sind bereits vorausgewählte Checkboxen, die man erst wieder abwählen muss (z.B. beim Kontaktformular automatisch eine ausgewählte Checkbox, die eine Anmeldung zum Newsletter vorsieht).
LG Martina
Hi Martina
Danke für Deine Antwort.
Ich hatte das in vielen Artikeln so verstanden, deshalb war ich jetzt irritiert. Du meinst, mit dem ersten „bestellen“ eines Newsletters ist das schon Opt-in 1? Schön wäre die Lösung mit der Checkbox im Newsletter ja nicht gerade 😉 Noch etwas anderes: Ist es zwingend erforderlich in dem Einwilligungshinweis die Datenschutzrichtlinien via Hyperlink zu verknüpfen?
Hallo Mel,
ja, ich lese es in vielen Artikeln auch so, habe es aber auch schon anders gelesen (z.B. hier: https://www.newsletter2go.de/infografiken/newsletter-datenschutz-checkliste/). Ich habe mal im Abschnitt zum Email-Marketing noch einige Artikel verlinkt. So könnte beispielsweise die bloße Eingabe der Emailadresse schon Opt-In 1 darstellen. Mit der Checkbox bist Du allerdings denke ich auf der sicheren Seite. Einige Anbieter, z.B. Mailchimp, haben diese ja auch schon in ihren Formularen hinterlegt und auch Anbieter von Lead-Plugins oder Pagebuildern haben Checkboxen mit implementiert (z.B. beim Beaver Builder). Ob der Datenschutzlink zwingend mit rein muss, kann ich derzeit auch nicht 100% beantworten, ich denke, es reicht, wenn der auf der Website präsent verlinkt ist (ähnlich wie das Impressum).
Ich denke, ich kann bald dazu näheres sagen!
LG Martina
Hallo Martina,
vielen Dank für diesen wirklich außerordentlichen ausführlichen Artikel. Ich habe ihn mir sehr zu Herzen genommen und überarbeite gerade meinen eigenen Blog.
Um meinen Bloggerkolleg*innen ebenfalls über die DSGVO in Kenntnis zu setzen, habe ich einen (sehr rufimentären) Artikel verfasst und auf Deinen verlinkt:
http://www.theujulala.de/dsgvo-ab-25-mai-2018/
Hallo Nana,
danke für die Verlinkung! Freut mich, dass ich helfen konnte!
LG Martina
Das ist für mich das größte Problem die nötigen AV-Verträge abzuschließen: Ich weiss nicht mal wo ich das machen muß , noch wie das funktioniert . Die Anbieter von Web-Hosting ,Plugins Free oder Premium finden es ja nicht nötig den Kunden der für ein Plugin oder Hostig paket bezahlt hat zu informieren .
Man muß alles selbst herausfinden was als Laie in der EU- Rechtslage überhaupt nicht möglich ist .Einen Anwalt einzusetzen als kleiner Affiliate das rechnet sich nicht. Da in einen Jahr mit Sicherheit wieder alles geändert oder angepasst wird und das ganze Spiel von vorne lossgeht.
Es wird viele geben die durch diese DSGVO ihre Blogs und Affiliateseiten Löschen werden. Ich habe damit meine Rente etwas aufgestockt. Und nun wird wieder der Staat die aufstockung übernehmen müssen , auch gut die wollen es halt so.
Gruß
Robert
Da sind Abmahnungen vorprogrammiert.Ich finde das ist alles übertrieben mit dem Datenschutz. Ich mache jedenfalls nicht weiter. Habe mich immer an die Regeln gehalten aber jetzt blicke ich nicht mehr durch und das Risiko ist mir zu groß. Große Firmen werden keine Probleme haben das alles umzusetzen ,haben eigene Anwälte. Aber der kleine Affiliate der nur etwas dazu verdienen will hat meiner Meinung keine Chance das umzusetzen .Ich blicke jedenfalls nicht mehr durch.
Hallo Robert,
das ist schade…aber ich kann es verstehen. Vielleicht wird es aber auch nicht so schlimm wie man denkt, es wird ja auch viel Panik verbreitet. Ich würde vor allem darauf achten, meine Datenschutzerklärung anzupassen, nur noch Double Optin zu verwenden (sollte man sowieso) und die nötigen AV-Verträge abzuschließen (gerade Google Analytics).
LG Martina
Hallo Robert, da sprichst du mir und vielen Anderen aus der Seele. Da kommt mal wieder was aus Brüssel, das uns das Leben schwer- oder unmöglich macht. Wer kennt sich denn schon mit den vielen Begriffen aus, die in diesem Blog herumschwirren? Doch die Allerwenigsten. Weshalb wird nicht einfach ein wasserdichtes Formular bereitgestellt, das in die Webseite eingebaut wird, und gut ist`s. Ich sehe es auch so, dass alleine die Unkenntnis der meisten Betreiber mit Abmahnungen ausgenutzt wird. Das müsste unterbunden werden können, indem die Abmahnanwälte in die Pflicht genommen werden. Warum muss ich auf dieser Seite der Verwendung von Cookies zustimmen? Nur weil ich meine Meinung gesagt habe? Und weshalb kann man nicht die Datenschutzerklärung dieser Webseite, vielleicht etwas modifiziert, verwenden? Dann wäre das Problem meiner Ansicht nach doch schon gelöst, oder?
Hallo Hans,
ja, ich sehe auch die größte Gefahr in den Abmahnanwälten und weniger von offizieller Seite. So lange es in Deutschland die kostenpflichtige Abmahnung gibt, wird dieses Geschäftsmodell leider Bestand haben. Auf meiner Seite nutze ich derzeit die Datenschutzerklärung von erecht24 Premium (etwas angepasst), als guten kostenlosen Generator kann ich Dir den von RA Dr. Schwenke empfehlen: https://datenschutz-generator.de/ Damit bist Du schonmal ganz gut versorgt.
LG Martina
Vielen Dank Martina!
Endlich eine verständliche Zusammenfassung der wichtigsten Punkte. Gestern noch verzweifelt, heute schon ein Licht am Ende des Tunnels 😉
LG
Manuela
Danke Manuela! Freut mich, dass ich helfen konnte!
LG Martina
Moin Martina,
Kompliment für diesen Beitrag. Ich „darf“ gerade für Kunden das Thema umsetzen und finde das Thema sehr gut beleuchtet und recherchiert ??
Als kleines Schmankerl der Link zum sog. Heise Folterfragebogen (: – https://www.heise.de/newsticker/meldung/DSGVO-Folterfragebogen-im-Selbsttest-3974512.html
Sonnige Grüße aus Hamburg
Andreas
Hallo Andreas!
Danke für Dein Lob – und den Link! 🙂
Ja, DSGVO umsetzen – das macht Freude 😉
Sonnige Grüße aus dem Saarland
Martina
Hallo Martina
Danke für die vielen Infos. Ich befasse mich auch schon seit Wochen mit diesem r
Thema und habe schon einiges umgesetzt. Habe trotzdem noch hier und da meine Probleme. Ich bin schon am verzweifeln und könnte alles hinschmeissen. Jedoch stecken in meinem Blog so viel Arbeit und Erinnerungen. Es ist ein Teil von mir geworden.
Im Augenblick weiss ich auch nicht mehr weiter
Lg
Manuela
Hallo Manuela,
oh, das ist schade. Wo hängt es bei Dir?
LG Martina
Danke Martina
Gerne! LG Martina
Vielen Dank für deinen Beitrag 🙂
Du hast mir damit Wahnsinn weiter geholfen
Gerne! Freut mich, dass ich helfen konnte! 🙂
Hallo Martina,
vielen Dank für die super umfassende Information! Dein Artikel bringt die wichtigsten ToDos auf den Punkt – wie eine Checkliste zum Abarbeiten. Da steckt viel Recherche-Arbeit drin – Respekt! Das hilft unheimlich weiter 🙂 Eine Frage trotzdem: Hier kreuze ich ja beim Abschicken des Kommentars die Zustimmung zu den Datenschutzbestimmungen mit an. Macht es Sinn, die hier zu verlinken? Liebe Grüße,
Elke
Danke liebe Elke!
Freut mich, dass ich helfen konnte!
Ja, das Verlinken macht absolut Sinn. Als ich das Plugin (WP GDPR Compliance) aktiviert und den Hinweis eingebaut hatte, ging das Verlinken noch nicht, da wurde HTML-Code noch nicht akzeptiert… Habs geändert!
Danke nochmal für den Hinweis 🙂
Ein bisschen Arbeit wartet hier auch noch auf mich 😉
LG Martina
Das ist ein sehr guter Beitrag und ich frage mich, ob meine Linkparty in der jetzigen Form noch zulässig ist. Falls ja, dürften dann dort nur noch Links von „sicheren Seiten“ rein?
LG Elke
Hallo Elke,
Das ist eine gute Frage. Also ich denke nicht, dass Du nun keine unverschlüsselten Seiten mehr verlinken darfst. Allein durch das Setzen des Links werden ja keine Daten übertragen. Anders würde es aussehen, wenn Du eine unverschlüsselte Seite per Iframe in Deine Website einbinden würdest.
LG Martina
Liebe Martina,
ich beschäftige mich jetzt intensiv seit einigen Tagen mit dem Thema und dein Beitrag hat mir gerade in den Details sehr weitergeholfen.
Vielen Dank dafür!
Nadja
Hallo Nadja,
gerne! Freut mich, dass ich helfen konnte!
LG Martina
Einfach toll. Ich hab mal die ersten Zeilen gelesen und ich muss sagen ich glaube es hilft mir schon mal etwas weiter. Bin seit einem halben Jahr Blogger und jetz kommt das DSGVO und ich habe keinen Plan von allem! Also jetzt heißt es Fortbilden und ich hoffe ich schaffe alles umzusetzen. Danke für deinen tollen Beitrag.
Lg Anja von Küchenzauber
Hallo Anja,
danke für Deinen lieben Kommentar! Es freut mich, dass ich helfen konnte!
LG Martina
Ein wichtiger Punkt ist auch, der aber in Deinem sehr guten Artikel nicht erwähnt wurde, dass Hoster standardmäßig schon bei einem normalen Zugriff auf einer Seite und insbesondere bei einem Fehler einer Webseite (z.B. Seite nicht gefunden / 404) Log-Dateien anlegt, wo neben einem Zeitstempel auch die IP-Adresse des Besuchers hinterlegt ist.
Nun ist die große Frage, auf die ich leider auch keine Antwort habe, ob das gemäß der DSGVO in Ordnung ist, da Logs imho für den sicheren Betrieb einer Webseite notwendig sind.
Hallo Thomas,
danke für den Hinweis! Ich hatte das Thema Webhoster nur am Rande erwähnt im Abschnitt über Drittanbieter. Auf jeden Fall sollte ein Passus dazu in die Datenschutzerklärung und mit dem Hoster ein Auftragsdatenverarbeitungsvertrag geschlossen werden. Die Logfiles sind tatsächlich datenschutzrechtlich nicht ohne. Ggf. den Hoster bitten, die Logfiles zu anonymisieren. Aber so wirklich eine Antwort habe ich darauf leider auch nicht.
LG Martina
bei All-Inkl.com können dazu im KAS unter „Einstellungen > Accesslog“ folgende 4 Einstellungen konfiguriert werden:
[quote]
» vollständig: die Standardeinstellung enthält die normalen Logs des Webservers
» IP gekürzt: die letzten beiden Stellen der Besucher-IP wird gekürzt, aus IP 11.22.33.44 wird 11.22.0.0
» IP entfernt: die Besucher-IP wird anonymisiert, aus IP 11.22.33.44 wird 0.0.0.0
» keine Logs: es werden keinerlei Logs & damit auch keine Statistiken erzeugt
[/quote]
Danke für den Hinweis! 🙂
Hallo Martina,
vielen Dank für deinen sehr konstruktiven Beitrag zu diesem leidigen Thema. Meinen Respekt hast du.
Etwas ist mir unklar. Du schreibst „Den Auftragsdatenverarbeitungsvertrag musst Du übrigens für jedes Konto abschließen, also separat für jede Website!“
So wie ich Dr. Schenke in seinem Beispiel verstanden habe, muss ein Konto nicht für jede Webseite bestehen. Ein Konto kann mehrere Properties, also Webseiten, vorweisen.
Ich habe quasi ein Konto unter dem ich 6 Webseiten mit den jeweiligen Property-Nummern führe. Demnach auch nur einen Google Vertrag für diese Webseiten.
Kannst du da zustimmen oder verstehe ich etwas falsch? Ich bin nämlich ziemlich verwirrt.
Vielen Dank
Othmar Wrana
Hallo Othmar,
stimmt, das war etwas missverständlich. Sofern Du in einem Konto mehrere Websites drin hast, würde der Vertrag für das Konto mit den 6 Webseiten gelten – so verstehe ich den Artikel von Dr. Schwenke auch. In meinem Fall muss ich tatsächlich mehrere Verträge abschließen, da ich für jede Website ein Konto angelegt habe. Ich habe den Artikel von Dr. Schwenke verlinkt. Danke für den Hinweis!
LG Martina
Hallo,
Ich betreibe eine Instagram Seite, wo ich auch von anderen Fotografen Bilder hochlade. Aber die Quellen mit angebe. Könnte mich da auch eine Konsequenz erwarten? Oder muss man die Seite löschen oder auf privat stellen? Ich möchte ungern diese Seite löschen. Würde mich über eine Antwort freuen.