Netzgeflüster: Stichtag 25. Mai – beware the DSGVO

Wie ihr wisst, war ich ja eine Weile offline und habe daher nicht mitbekommen wie stark sich meine geschätzte Blognachbarschaft bereits mit der DSGVO auseinandergesetzt hat. Beim Beobachten der sozialen Netze hatte ich aber eher den Eindruck, dass Panik vorherrscht. Da ich mich gerne mit Themen die das www betreffen, auseinandersetze (und auch ich noch dabei bin meinen Blog DSGVO-fit zu machen), kann ich mir einen Kommentar dazu kaum verkneifen. 🙂 Einen kleinen Disclaimer muss ich an der Stelle trotzdem anbringen: ich bin kein Anwalt und der Blogartikel ist keine Rechtsberatung. Habt ihr also Fragen zur DSGVO können wir hier gemeinsam laienhaft fachsimpeln oder ihr greift zur Sicherheit für eine Fach-Meinung auf den Anwalt eures Vertrauens zurück.

Was ist die DSGVO?

DSGVO steht für Datenschutz-Grundverordnung, im Englischen General Data Protection Regulation (GDPR) und bezeichnet eine Verordnung der Europäischen Union, die bereits 2016 in Kraft getreten ist und ab dem 25. Mai 2018 angewendet wird. Die Verordnung widmet sich dem Datenschutz, d.h. dem Schutz personenbezogener Daten und umfasst zahlreiche Punkte wie die Formulierung verständlicher AGB und die Transparenz der Nutzer, was Dienste mit ihren Daten anstellen. Für Nutzer/Kunden von Webdiensten ist das eigentlich eine feine Sache. Wir erinnern uns doch alle noch an die Sache mit Facebook, den US-Wahlen und Cambridge Analytica? Genau solchem Datenmissbrauch soll damit vorgebeugt werden. Personenbezogene Daten sind beispielsweise euer Name, eure Adresse, aber auch eine E-Mail-Adresse und eine IP-Adresse, da man diese Daten nutzen kann, um Rückschlüsse auf eure Person zu ziehen und zu recherchieren. Müssen sich User auf eurer Webseite oder eurem Webshop anmelden, dann ist es ziemlich sicher, dass ihr personenbezogene Daten speichert und die DSGVO beachten müsst. Prinzipiell hinterlässt man aber auf Blogs auch durch Kontaktformulare und Kommentare diese Daten.

Was bedeutet das für meinen Blog?

Betreibst du einen Webshop, Webservice anderer Art und bist auf AGBs angewiesen oder führst einen kommerziellen Blog, dann hast du etwas mehr Todos. Aber auch Betreiber privater Blogs sollten sich mit der DSGVO auseinandersetzen. Hast du beispielsweise ein Kontaktformular auf deinem Blog, solltest du dir die Frage stellen, ob es wirklich notwendig ist, jemanden der mit dir Kontakt aufnehmen will, dazu zu zwingen sich anzumelden, seinen vollen Namen anzugeben oder seinen Geburtsort zu hinterlassen (ich hoffe wirklich du hast so eine Option nicht in deinem Kontaktformular). Wenn man beispielsweise seinen Blog für HTTPS, d.h. per SSL verschlüsselte Datenübertragung fit macht, ist man schon vorbildlich, da so eben auch personenbezogene Daten verschlüsselt übertragen werden. WordPress.com-Nutzer sind idR schon safe was das betrifft. Aber das ist nur einer von vielen möglichen Todos. Denn auch Plugins, die WordPress.com standardmäßig nutzt oder die ein Blogbetreiber in seinem selbst gehosteten WordPress verwendet, speichern unter Umständen personenbezogene Daten (IP-Adresse, Email, …) und schon ist man als Betreiber nicht mehr DSGVO-konform. Frag dich mal selber: benutzt du Google Analytics Dashboard? Ohne einen entsprechenden Vertrag („Auftragsdatenverarbeitung“) mit Google, der klärt wie mit personenbezogenen Daten umgegangen wird und/oder ohne Anonymisierung der Daten, ist man nicht mehr DSGVO-konform.

Panic!

Trifft das auf dich zu? Panik? Steigen dir die Schweißperlen auf die Stirn? Fakt ist: niemand weiß, was am 25. Mai passiert. Prinzipiell kann es zu einer Abmahnwelle kommen, da die DSGVO ein gefundenes Fressen für Abmahnanwälte sein dürfte. Andererseits muss die Nicht-Einhaltung der Richtlinien auch geprüft werden. Habt ihr keine offensichtlichen Todos erledigt wie ein Impressum, habt ihr keine Datenschutzerklärung, etc. dann ist das leicht. Sind die augenscheinlichen Infos auf eurem Blog vorhanden, muss man sich als Abmahnanwalt schon etwas mehr Mühe geben und beispielsweise Auskünfte bei eurem Internetprovider (=Webspace-Anbieter) einholen oder sonstwie rauskriegen, ob ihr beispielsweise Google Analytics Dashboard benutzt (es gibt Wege – dafür brauch es in Einzelfällen nur einen Browser und die darin eingebauten debug tools für Webprogrammierung). Ob es überhaupt zu so einer Welle kommt, steht in den Sternen. Vielleicht passiert auch … nichts. Das Internet explodiert nicht und alles bleibt wie es ist. Anstatt Panik zu schieben, sollte man sich also lieber damit beschäftigen, was man tun kann, um der DSGVO gerecht zu werden. Nicht nur um Strafen zu entgehen, sondern weil einige der Punkte valide sind. Mit personenbezogenen Daten verantwortungsvoll umzugehen ist eigentlich wünschenswert. Die DSGVO fordert nicht direkt, dass wir SSL-verschlüsselt Daten übertragen. Aber es wäre schon cooler. Und aus technischer Hinsicht ein weiser Rat. Ich werde aber auch nicht behaupten, dass alle Punkte die aus der DSGVO resultieren sinnvoll und nützlich sind. Beispielsweise was Emojis betrifft … .

TODO – die Webseite DSGVO-konform machen

Es muss nicht alles ein Krampf sein. Du kannst deinen Blog schon mit einigen wenigen Details DSGVO-konform machen. Edit: Ab WordPress Version 4.9.6 werden euch im Dashboard Funktionen zur Verfügung gestellt, um beispielsweise einen Datenauszug anzufordern, eine Datenschutzerklärung zu erstellen usw. Das sind einige der Funktionen, die auch das Plugin WP DSGVO Tools bereitstellt und einem viel Arbeit abnimmt, indem es dir erlaubt den Text im Kommentarfeld anzupassen, sodass Nutzer sich mit der Speicherung ihrer Daten (Email, …) einverstanden erklären oder auch die allgemein bekannte Cookie notice einstellen, die uns sowieso schon auf zig Webseiten anlächelt. Außerdem kannst du deinen Blog mithilfe eines Impressums absichern. Kontaktformulare, die du nicht zwingend brauchst, können raus. Plugins, die Daten sammeln, können deinstalliert und gegen nutzerfreundlichere ersetzt werden. Bei den WP-Ninjas kannst du beispielsweise nachlesen, ob die Plugins, die du verwendest Datenkraken sind: DIE UMFASSENDE WORDPRESS PLUGINS DSGVO LISTE – LÖSUNGEN, MASSNAHMEN, ALTERNATIVE und auch auf Blogmojo gibt es eine sehr nützliche Auflistung mit Tipps und Alternativen: 140+ WordPress-Plugins im DSGVO-Check (mit Lösungen, Alternativen und Plugin-Tipps!). Es gibt unendlich viele Hilfeartikel im Web. Es ist sogar überflüssig, dass ich mich auch noch damit beschäftige, weshalb ich lieber eine Linksammlung der meiner Meinung nach hilfreichsten Artikel hierlasse. In dem Sinne: Don’t panic. Schließlich hatten wir seit 2016 Zeit uns damit auseinanderzusetzen. Wachsam bleiben, informieren, schauen was man tun kann.

Hier gibt es Hilfe und Anleitungen

So bereitest Du WordPress auf die DSGVO vor (webtimiser)
DSGVO für Blogger – Checkliste und Linksammlung (Blog your thing)

Links zum weiterlesen

Auch sehr lesenswert …

„Man reimt sich das alles irgendwie zusammen“ Zeit Online, 12. Mai 2018
„DSGVOhhh mein Gott, und jetzt?“ Zeit Online, 11. Mai 2018

Wie ist eure Grundstimmung? Verfallt ihr in Panik? Seid ihr schon safe was die DSGVO betrifft? Oder lasst ihr es drauf ankommen und macht euch da gerade gar keinen Stress? Gibt es nützliche Links und Hilfeseiten, die ihr empfehlen könnt?

Netzgeflüster ist eine Kategorie meines Blogs in der ich mich immer zwischen dem 10. und 15. eines jedes Monats Themen rund um IT, Forschung, Netzwelt, Internet und eben auch Gerüchten widme. 🙂

19 Antworten

  1. Ich gehöre wohl zur Panikfraktion. Ich hab einfach technisch viel zu wenig Ahnung 🙁 . Außerdem gibt es widersprüchliche Tipps, der eine sagt, der eine sagt, man braucht einen Auftragsdatenverarbeitungsvertrag mit WordPress, andere sagen nö. Ich hab auch im Moment einfach zu viele andere Dinge, um die ich mich kümmern muss, sodass ich für den ganzen Kram einfach keinen Kopf habe…

    1. Avatar von Miss Booleana
      Miss Booleana

      Ich kann das sehr gut nachempfinden, dass man tausend andere Dinge im Kopf hat als diese (bis jetzt) ewig im Verborgenen vor sich hinschwelende Verordnung umzusetzen. Aber andererseits ist der Schutz der Daten auch etwas, dass du dir sicherlich genauso wünschst. So ein Minimum an Transparenz kann sicherlich jeder von uns schaffen. Das mit der Auftragsdatenverarbeitungsvertrag mit WordPress (eher nicht mit WordPress würde ich vermuten, sondern mit Automattic, der Firma hinter diversen WordPress-Plugins) und v.A. mit dem Provider, falls man selber hostet, machen mich auch noch unschlüssig. Da sehe ich wenig Sinn sowas für jedes Plugin zu verhandeln, da man ja als User/Webseitenbetreiber sowieso deren AGB etc zustimmt. Etwas kritischer wird das sicherlich für Leute, die mit ihren Blogs Gewinn generieren.
      Das wirklich ärgerliche sind die Grauzonen, die sich für kleine Unternehmen, Selbstständige oder „einfache“ Webseiten- und Blogbetreiber ergeben.

      1. WordPress ist wohl nicht bereit, für die Nutzer der kostenlosen Version irgendwas zu unternehmen. Beispielsweise der ADV-Vertrag, den gibt’s nur für Bezahler. Ein entsprechendes Verzeichnis kann ich auch nicht erstellen. Bin mir unschlüssig, Datenschutzerklärung und Cookie-Hinweis hab ich, aber ich weiß nicht, ob ich mich damit sicher genug fühle, den Blog weiterzubetreiben 🙁

  2. Hm. Panik hab ich so direkt keine, bin aber doch ziemlich ratlos. Ich glaube das beste wäre, erst mal den Blog auf privat zu stellen, dann ein solches plug-in zu installieren und dann den Blog wieder auf öffentlich zu stellen. Das Pfingstwochenende würde sich dazu anbieten.

    1. Avatar von Miss Booleana
      Miss Booleana

      Ja, kann man machen. Allerdings bin ich mir nicht sicher, ob dafür ein Wochenende reicht. Und es wäre sehr schade, wenn über’s Wochenende vor und nach dem 25. die Hälfte der Blogs im EU-Raum verschwindet 😉

      1. Vorübergehend auf privat stellen wäre auch keine Option?

  3. Wie ich Merkel kenne, wird die vermutlich sogar vor dem 25. Mai zurück rudern… Jetzt mal im Ernst, ich weiß nicht was die DSVGO soll. Unsere Daten hat man doch eh schon gesichert und wenn der Bundesnachrichtendienst mich abhören will, dann hören die mich ab 😀

    Gleichzeitig finde ich WordPress’s Support für seine gratis-User unterirdisch. Ich reime mir alles irgendwie zusammen, letzendlich verdiene ich auch nichts mit dem Blog… Es ist einfach nur unfassbar nervig und unfassbar undurchsichtig wie fast alles in Deutschland.

    1. Avatar von Miss Booleana
      Miss Booleana

      Ich befürchte da ist kein Zurückrudern möglich 😉 Das Gesetz ist nicht von Frau Merkel, sondern eine EU-Richtlinie und die ist eigentlich schon seit 2016 in Kraft. Es wurde nur festgelegt, dass man den Betreibern von Diensten, Webseiten etc. Zeit gibt um die Verordnung umzusetzen. Die meisten (ich ja auch) hatten das allerdings nicht auf dem Schirm oder haben gedacht „joar, sind ja noch zwei Jahre Zeit“. Die gehen schneller vorbei, als man Verordnung sagen kann ^^‘
      Und ja: daran ist was dran, dass unsere Daten ja schon längst bei zig Diensten dümpeln und wir ihre AGBs und das grausige Kleingedruckte akzeptiert haben. Aber das heißt nicht, dass der Zug abgefahren ist. Auch die müssen sich an die DSGVO halten und spätestens ab dem 25.5. was ändern.

      Ich bin ja kein wordpress.com-User mehr (weil selbst gehostetes WordPress), aber das interessiert mich sehr: hast du irgendwas beim Support recherchiert? Gibt es da keine Maßnahmen? Eigentlich hätten sie was schalten müssen. Ich hätte auch erwartet, dass sie für die selber-Hoster eine neue Version zur Verfügung stellen. Aber ich glaube da kam nix.

      1. Automattic hat sich hier ein wenig dazu geäußert: https://automattic.com/automattic-and-the-general-data-protection-regulation-gdpr/
        Konkrete Umsetzungen (Opt-out aus Tracking usw.) sind aber noch nicht vorhanden, soweit ich es gesehen habe.

        Toller Artikel übrigens, der mir aber nicht nicht komplett die Angst vor dem Schreckgespenst nehmen kann. Es bleibt spannend.

      2. Ich bezweifle immer noch, ob die wirklich großen Dienste sich an überhaupt irgendwelche Rechte halten müssen 😀 Ich glaub da muss man nur Taschengeld zahlen und das wars…

        Ich hab dem Support zwei Mal geschrieben und bin weiß Gott nicht die Einzige. Bis jetzt kam keine Antwort. WordPress.com will anscheinend etwas ändern, aber was und wann sie dies tun war ziemlich undurchsichtig. Hilfreich sieht anders aus…

  4. Ich glaube mir geht dazu das hier durch den Kopf:
    “I choose a lazy person to do a hard job. Because a lazy person will find an easy way to do it.”
    Die Grundprämisse ist richtig. Daten sind schützenswert. Aber ich würde wahrscheinlich jemanden ein solches Gesetz durchdenken lassen der Bürokratie nicht übermässig mag und auf gar keinen Fall daran verdient, wenn Sachen schwierig sind oder sich Geld damit machen lässt es anderen zu erklären bzw an Nicht-Compliance zu verdienen.

  5. Also ich hatte letztens schon einen Artikel auf einer Nachrichtenseite gelesen in dem stand, dass Merkel das ganze auflockern möchte und das wohl noch kurz vor knapp passieren soll. Somit erstmal abwarten und schauen, ob da nicht noch was kommt und was nach dem 25. Mai ist. Kann deine Worte auch nur unterschreiben: Ich habe umgesetzt, was ich umsetzten konnte. Den Vertrag mit Google hatte ich schon längst abgeschlossen, weil mir damals schon wichtig war das datenschutzkonform einzubauen, denn in dem Fall sind Vertrag plus Anonymisierung der IP-Adressen ja nichts Neues, sondern schon immer gefordert. Jedoch überlege ich gerade trotzdem ob ich das wirklich noch brauche, weil ich in den letzten Monaten kein einziges Mal in meine Statistiken geschaut habe. Da kann ich es eigentlich auch wieder rausschmeißen. Ansonsten sind nun alle Sharing Buttons rausgeflogen, weiß auch gar nicht ob die jemand nutzt. Das Instagram Widget verschwindet noch. Impressum hatte ich eh schon und die Datenschutzerklärung wurde angepasst.

    Was mich nur leicht nervte war, dass ich alle Youtube Videos überarbeiten musste bzw. rausschmeißen oder den Code austauschen müsste. Wobei ich da gehört habe, dass es wohl auch nicht reicht wenn man da den erweiterten Datenschutz aktiviert und für Blogger gibts da kein zusätzliches Plugin. Das heißt jetzt, dass ich nur noch per Textlink auf Videos verlinken werde, was ich schade finde, da ich in Rezensionen oder bei meinen Kino Neustarts immer die Trailer eingebunden habe.

    Ich hoffe jetzt lediglich noch, dass Google nun rechtzeitig auf die neuen Bestimmungen reagiert, da ich meinen Blog ja bei Blogger habe.

  6. Danke für die hilfreiche Auflistung. Da ich noch nicht selber hoste, bin ich die Verordnung betreffend relativ entspannt. Allerdings habe ich zumindest mein Kontaktformular etwas angepasst.
    Sobald der Schritt zum Felfhosting getan ist, werde ich hier sicherlich nochmal vorbeischauen und ein paar der Links abklappern. Gibt eben doch mehr Stolpersteine, als man zunächst denken möchte.

  7. Ich stehe der DSGVO sehr zwiespältig gegenüber. Ich finde es wichtig und richtig, dass Datenschutz relevant und zumindest europaweit einheitlich ist. Die Umsetzung ist allerdings mehr als dürftig: Da sind zum einen schwammige Regelungen und Grauzonen, die für widersprüchliche Infos seitens Experten sorgen und selbst Datenschutzbeauftragte und Juristen vor Fragen stellen, weil zu viel unklar und nicht hinreichend erläutert ist. Zum anderen macht die DSGVO eben kaum Unterschiede zwischen den Seitenbetreibern und Nutzer, die internationale Dienste für ihre Seite verwenden (und die zum Teil deren Funktionalität erst ermöglichen), müssen deinstallieren, installieren, als Laien Codes umschreiben, Verträge abschließen etc., während die großen Player weiterhin fleißig und uneingeschränkt Daten sammeln.

    Ich selbst habe einen Großteil der notwendigen Anpassungen an das Team meines Providers abgegeben. Das hat mich zwar auch etliche 100€ gekostet, aber bei all den widersprüchlichen Infos im Netz, war mir das der sicherste Weg, einen „sauberen“ Blog zu bekommen (abgesehen davon hatte ich auch nicht den Kopf frei und muss mich schon im Büro mit einzelnen Punkten der DSGVO befassen). Aktuell ersetze ich nun noch sämtliche eingebettete Tweets auf dem Blog durch Screenshots. Verdammt viel Aufwand für ein Hobby. :-/ Ein paar Dinge bzw. PlugIns habe ich noch nicht ersetzt, weil hier auch Anpassungen seitens der Entwickler versprochen wurden und ich irgendwo auch davon ausgehe, dass die Anbieter der meistgenutzten PlugIns keine Lust darauf haben, Millionen von Usern zu verlieren und daher eine Lösung anbieten werden. Irgendwie muss für Hobby-Seitenbetreiber, Selbstständige, Vereine und kleine Unternehmen auch eine Verhältnismäßigkeit bleiben …

  8. Mein Blog ist bei wordpress.com, die kostenlose Variante, deshalb habe ich nur wenige technische Eingriffmöglichkeiten. Das WordPress Update z.B. gibt es nicht und ich kann keine Plugins installieren. Ich habe jetzt getan, so viel mir technisch möglich ist (Datenschutzerklärung, Cookie Banner, Hinweis am Ende von Posts wegen Datenspeicherung bei den Kommentaren – direkt unter die Kommentarbox mit Feld zum Anklicken wie bei dir kann ich es leider nicht einfügen, Avatare und Emoticons deaktiviert und Social Share Buttons rausgenommen), das reicht hoffentlich. Bei den Kommentaren bin ich mir wirklich nicht sicher, ob das so geht, aber ich will sie auch nicht deaktivieren, denn die machen das Bloggen doch noch viel spaßiger. 🙂

    1. Hi,
      ich habe auch die kostenfreie Variante, überlege aber, eventuell auf kostenpflichtig umzusteigen, um die nötigen Plug-ins installieren zu können; und bis ich fertig bin, stelle ich mein Blog auf privat um – und zwar noch heute.

      LG
      Ulrike

  9. […] Beware the DSGVO – Und zu guter Letzt habe ich noch einen Beitrag von Netzgeflüster, der ebenfalls eine sehr gute Einleitung zum Thema DSGVO bietet. […]

  10. Ich bin mir nach wie vor unsicher, wie ich das nun auf wordpress.com umsetzen soll. Ich habe das Gefühl, alle Tipps, die ich lese zielen nur auf .org ab.
    Ich verzweifle immer mehr. Ich hatte keine Panik. Mittlerweile werde ich aber immer unsicherer. Mir vergeht irgendwie grad die Lust am Bloggen ehrlich gesagt. :/

  11. […] Mit den Geschmackvollen Filmen, d.h. Filme über die schönste Nebensache der Welt (Essen) macht Luca Guadagnino mit seinem Film I am Love nach Call me by your Name nun letztendlich komplett zu einem Regisseur für mich, den ich beobachten möchte. Bittersüß ist auch eine Gangart bei Manga, zumindest beherrscht die Mangaka-Gruppe CLAMP diese großartig. Ich schrieb über sie und ihre Manga mit bittersüßem, doppelten Boden wie Clover und X-1999. Im Mai startete ich außerdem das erste Mal einen großen Themenkomplex, ich wollte mich mit Feminismus auseinandersetzen. Die Idee entstand während der Leipziger Buchmesse und das „Projekt“ lief doch einige Monate und startete mit einer Sachbuch-Besprechung: Der Feministische Frühling. Apropos Frauen … in Serienlandschaft diskutierte ich, dass mit Miss Sherlock ein japanisches Format rauskommt, das dieses Mal sowohl Sherlock als auch Watson als Frau zeigt und stellte die Frage, ob wir noch eine Adaption des Stoffes brauchen? Es geht mir aber immer noch so: ich will’s sehen, habe es aber leider noch nicht. Im Mai hat uns aber wahrscheinlich vor Allem die DSGVO auf Trab gehalten. Auch mich, v.A. weil ich vieles aufgrund des Umzug erst kurz vor knapp machen konnte. Das riss mich so rein, dass ich erst viele Monate später wieder zu meinem normalen Rhythmus finden sollte. Ich schrieb über die DSGVO (und über die Panikmache) in Beware the DSGVO. […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert