Die Datenschutz-Grundverordnung ist ein Schreckgespenst, welches auch bei Bloggern für schlaflose Nächte sorgt. Je mehr man über die DSGVO liest, desto größer wird die eigene Panik.
Panikmache vielerorts
Es war immer schon so, dass Halbwissen ein guter Nährboden für Panikmache ist. Was ich in den letzten Wochen zum Thema Datenschutz-Grundverordnung (DSGVO) gelesen habe, sorgte selbst beim mir für leichte Schweißausbrüche. Dabei ist die DSGVO ein Thema, was mich nicht nur privat als Blogger, sondern auch beruflich im Agenturbetrieb beschäftigt. Vielleicht eins vorweg: neu ist das alles nicht, und der viel beschworene Stichtag 25. Mai 2018 ist nur der Endpunkt einer zweijährigen Übergangsfrist. Ähnlich wie beim Thema Weihnachtsgeschenke ist es auch bei der DSGVO so, dass es viele Menschen gibt, die erst auf den Drücker in Aktion treten. Die damit verbundene Torschlusspanik führt dann in der Regel zu blindem Aktionsmus.
Die wenigsten von uns sind so juristisch bewandert, dass sich wirklich von alleine rechtssicher den Kern der DSGVO erkennen und umsetzen können. Was dazu führt, dass man die Suchmaschinen bemüht und auf Seiten landet, die mitunter auch die Gerüchteküche befeuern. Küche ist hier das richtige Stichwort, denn nichts wird so heiss gegessen, wie es gekocht wird. Beim Thema Datenschutz-Grundverordnung gilt daher als erstes: Don`t panic! Ruhe bewahren, Tee oder was auch immer trinken.
DSGVO ganz einfach?
Natürlich ist so was immer leichter gesagt als getan. Auch ich habe mich von der Panik anstecken lassen. Wobei die empfindliche Strafe bei Verstößen gegen die DSGVO von 4 Prozent des gesamten Jahresumsatzes bei mir lächerlich wäre — mit meinem Blog erziele ich keinen Umsatz. Gewinn gibt es nicht, im Gegenteil, ich zahle drauf. Ist aber an dieser Stelle tatsächlich ein anderes Thema.
Wer sich umfassend informieren will, kann das anhand einschlägige Stichwörter im Netz mühelos machen. Je mehr Zeit man dabei investiert, desto undeutlicher wird jedoch das Ergebnis. Mir ging es so, dass ich am Ende einer Woche einen riesigen Knoten im Kopf hatte. Das muss doch alles einfach gehen, dachte ich mir. Für mich fand ich daher eine Lösung. Es ist vermutlich keine, die sich auf alle anderen Fälle übertragen lässt. Vielleicht aber für nichtkommerzielle Blogger eine erste Orientierung bieten kann.
Schritte zum Datenschutz
Das Nachfolgende mein persönlicher Maßnahmenkatalog ohne Anspruch auf Vollständigkeit. Auch irgendwelche Disclaimer verzichte ich allerdings hier, da sie eher lächerlich wirken. Bei der DSGVO wird es auch nicht besser, wenn der eine von der anderen abschreibt und umgekehrt. Also, Hand aufs Herz, was habe ich für diesen Blog hier unternommen?
Als erstes kümmerte ich mich um den Punkt SSL-Verschlüsselung. Das hat zum einen mit Datenschutz zu tun, zum anderen aber wird Google das auch künftig als Rankingfaktor heranziehen. An einem SSL-Zertifikat für seine Seite kommt man auch als nichtkommerzieller Blog nicht herum. Ob man ein kostenpflichtiges Zertifikat (so wie ich) oder eines von Let’s Encrypt verwendet, ist wohl eher Geschmacksfrage — vor allem aber abhängig vom Provider ob er einem überhaupt die Wahlmöglichkeit lässt.
Setzt man zur Erstellung von Besucherstatistiken Google Analytics ein, sollte man zuerst die Funktion für die Anonymisierung aktivieren. Anleitung dafür finden sich reichlich im Netz, auch die meisten für WordPress verwendeten Plugins bieten eine Möglichkeit hierfür.
Als zweiten Schritt muss man mit Google einen Vertrag zur Auftragsdatenverarbeitung abschließen. Das passiert schriftlich. Man druckt dazu [dieses Dokument]((https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf) zweifach auch und sendet es an Google. Möglichst frühzeitig erledigen, weil die Bearbeitungszeit mindestens zwischen vier bis sechs Wochen liegt.
Da Daten auch beim Hosting Anbieter auflaufen, sollte man mit diesem ebenfalls ein Vertrag zur Auftragsdatenverarbeitung abschließen. Je nach Hoster ist das Verfahren dazu sehr unterschiedlich, hier muss man sich entsprechend durchfragen.
Seite zum Datenschutz
Eine Seite im Blog zum Thema Datenschutz sollte mittlerweile eigentlich zum Standard gehören. Wer sie noch nicht hat, sollte sie spätestens jetzt anlegen, der Rest überarbeitet sie entsprechend. Orientieren kann man sich dabei an dem, was ich mit Hilfe von erecht24.de zusammengestellt und ergänzt habe. Für ratsam halte ich es zudem, die Seite mit der Datenschutzerklärung auf noindex zu setzen. Ob das tatsächlich vor Abmahn-Bots oder ähnlichen Dinge schützt, sei mal dahingestellt. Nutzt man wie ich das Yoast-Plugin, geht das auf der betreffenden Seite im Backend, wenn man dort unten im Yoast-Pannel auf das Zahnrad klickt und die Einstellung entsprechend vornimmt.
Wenn man gerade dabei ist, etwas mit Yoast anzupassen, sollte man gleich auch die Einstellungen des Plugins selber modifizieren. Um DSGVO-konform zu sein, geht man bei Yoast unter SEO->Allgemein->Funktionen auf den Punkt die Ryte Integration und deaktiviert diesen.
Heiße Cookies
Das Thema Cookies ist im Rahmen des DSGVO noch nicht abschließend geklärt. Eine endgültige Vorgabe wird es wohl erst 2019 geben. Möglicherweise dann sogar so strickt, dass Cookies erst nach einem Opt in gesetzt werden dürfen — was eine ganze Reihe von Dingen da absolut unbrauchbar machen wird. Bis es soweit ist, schadet ein allgemeiner Hinweis auf die Verwendung von Cookies nicht. Hier im Blog verwende ich dafür das Plugin Cookie Notice, welches sich ziemlich gut konfigurieren lässt.
Wer sich darüber hinaus mit dem Thema beschäftigen will: grundsätzlich wird unterschieden zwischen Third-Party und First-Party Cookie. Alles in einen Topf werfen sollte man nicht, den ohne First-Party Cookies läuft beispielsweise auch kein Warenkorb bei einem Onlineshop.
Verzeichnis der Verarbeitungstätigkeiten
Es heisst an vielen Stellen, man müsse laut DSGVO ein Verzeichnis der Verarbeitungstätigkeiten erstellen. Tja, ich selber bin mir noch unschlüssig, ob ich das als nichtkommerzieller Blogger überhaupt muss. Hier im Blog werden Daten nur für vier Zwecke automatisiert verarbeitet. Statistisch durch Google und Jetpack, zum SPAM-Schutz bei den Kommentaren, für die Gravatar-Bilder und für das Abo von neuen Blogbeiträgen. Ansonsten mache ich selber mit den Daten nichts.
Was Gravatar und Jetpack angeht, liest man in eine Reihe von Beiträgen davon, beides sofort zu deaktivieren. Dabei wird derzeit jedoch dran gearbeitet, Jetpack DSGVO-kompatibel zu machen. Hier sollte man nichts überstürzen und erstmal abwarten. Ratsam ist es jedoch in jeden Fall, das Teilen in Sozialen Netzwerken über die Teilen-Buttons von Jetpack zu deaktivieren. Falls man andere Plugins dafür verwendet, diese zu löschen.
Gravatar angeht: Hier erfolgt die externe Prüfung der E-Mail-Adresse des Besuchers. Auf die Bilder bei den Kommentaren will ich nicht verzichten, muss ich auch wohl nicht, weil die Adresse nicht im Klartext übertragen wird, sondern lediglich ein Hash-Wert. Meine Empfehlung wäre hier ebenfalls erstmal abzuwarten.
Kommentarfunktion und Datenschutz
Sofern im Blog die Möglichkeit besteht, Kommentare zu hinterlassen, muss das bereits erwähnte SSL-Zertifikat in jedem Fall vorhanden sein. Darüber hinaus muss der Besucher der Webseite darüber informiert werden, dass er durch die Nutzung der Kommentarfunktion in die Speicherung seiner Daten zustimmt.
Insbesondere dann, wenn etwa via Akismet Kommentare auf SPAM überprüft werden, ist ein Plugin wie Akismet Privacy Policies recht nützlich. Zwar gibt es auch noch Antispam Bee, hier muss aber in jeden Fall nachkonfiguriert werden. Wenn man dann keine externe Prüfung mehr vornimmt, ist das SPAM-Plugin meiner Meinung nach recht schwach.
Schwierig wird es, wenn man wie ich den Besuchern etwas Komfort bietet und es ihnen erlaubt, sich zum kommentieren Twitter-, Facebook- oder Google+-Konten zum kommentieren anzumelden — die Option bietet Jetpack. Dann greift das oben erwähnte Plugin nicht, zudem schafft es wieder Probleme hinsichtlich der DSGVO. Hier warte ich erstmal ab, ob Jetpack diesbezüglich überarbeitet wird. Andernfalls muss ich die Funktion wohl auch abschalten.
Videos und Webfonts
Alles, was an externen Inhalten im Blog eingebunden wird, ist ein potenzielles Risiko für den Datenschutz. Das betrifft etwa Youtube-Videos genau so wie Google Maps. Es findet immer eine Kommunikation mit externen Diensten statt. Gleiches gilt auch für Google Webfonts, hier wird die IP-Adresse weitergegeben. Ob das schon an kritisch ist, bezweifle ich allerdings. Klar kann man mit entsprechendem Know-How die Fonts auf dem eigenen Webspace abspeichern und gleich ganz darauf verzichten. Bevor man das macht, würde ich erstmal abwarten. Bei den erhängten Videos sollte man beim einbinden darauf achten, ob die entsprechenden erweiterten Einstellungen zum Schutz der Privatsphäre gesetzt wurden.
Abschließend habe ich den Eindruck, eine Menge an Maßnahmen zum Datenschutz umgesetzt zu haben und mir über noch Probleme im klaren zu sein. Es besteht bei mir die berechtigte Hoffnung, damit der Idee der DSGVO entsprochen zu haben.
Eine Antwort