DSGVO – Was du wissen musst!

Im heutigen Artikel geht es mal nicht um P2P Kredite oder Crowdinvesting. Es geht nicht einmal um das Thema Finanzen. Heute lasse ich dich mal einen Blick „Hinter die Kulissen“ werfen und zeige dir, wie viel Spaß man als kleiner Blogger mit Gesetzen haben kann.

Dieser Artikel ist etwas länger geworden. Solltest du einen Blog oder eine Webseite betreiben und noch nichts von der DSGVO gehört haben, dann glaube mir, wird diese Lesezeit gut investierte Zeit sein!

 

Die europäische Datenschutz-Grundverordnung, kurz EU-DSGVO

Heute geht es um die DSGVO. Die Datenschutz-Grundverordnung ist ein Konstrukt der EU und soll neue Maßstäbe für Datenschutzrechte und Sicherheit im Internet setzen. Eigentlich ein schönes und ehrenwertes Ziel. Mehr Sicherheit, mehr Datenschutz, das wollen wir alle. Die DSGVO ist ab dem 25. Mai 2018 anzuwenden, in Kraft getreten ist die Verordnung aber bereits am 24. Mai 2016. Damals hat sich nur niemand dafür interessiert. Warum auch? Bis 2018 war ja noch viel Zeit.

Das wir bei Facebook, Google und Amazon ein mehr an Datenschutz und Sicherheit brauchen, sehe ich ein. Haken dran. Das die DSGVO aber auch für kleine Hobbyblogger, wie mich in allen kleinen Details gilt, ist schon harter Tobak. Ja, auch wenn ich ein paar Kröten mit dem Blog verdiene.
Aber gut, Datenschutz fängt im Kleinen an, aber du wirst gleich sehen, die Auswüchse sind schon etwas pervers. Zumal viele der Gesetzestexte natürlich wieder viel Spielraum zur Interpretation lassen. Aber ich will den Spaß ja nicht vorwegnehmen.
Heute zeige ich dir mal, was die DSGVO so alles vorschreibt. Viel Spaß!

Der 10 Punkte Plan zur DSGVO

Bitte beachte, dass ich in diesem Artikel nur meine persönliche Erfahrung und meine persönliche Meinung zum Ausdruck bringe. Dieser Artikel darf nicht als (Rechts)Beratung zur DSGVO verstanden werden! Meine Interpretationen und Auslegungen können falsch und/oder unvollständig sein! Ganz bestimmt sogar!

Der Datenverarbeitungsvertrag

Mit allen Anbietern die Daten von meinem Blog erlangen können und könnten, muss ich einen Datenverarbeitungsvertrag abschließen. Jetzt fragst du dich sicherlich, mit welchen Anbietern hat den ein Blog wie meiner zu tun?
Nun ja, da wäre zum einen Google. Ich nutze Google Adsense, um Werbebanner in einigen Artikeln und auf der Startseite anzuzeigen. Ich nutze Google Analytics für meine Webanaylse. Schließlich will ich sehen, wer und wie viele Besucher auf meinen Blog kommen.
Soweit ist das noch verständlich und für mich ist nachvollziehbar, dass ich mit Google Daten meiner Besucher austausche.
Unglücklich ist, dass ich persönlich mit Google einen Datenverarbeitungsvertrag abschließen muss. Warum sorgt der Gesetzgeber (z.B. die EU) nicht einfach dafür, das Google richtlinienkonform arbeitet und auch gesetzestreu mit den Daten umgeht?
Jetzt muss JEDER!!!!!! Webseiten/Blog-Anbieter, der in irgendeiner weise Google Services nutzt, mit Google einen Vertrag abschließen. Jetzt haltet euch fest. Der Vertrag muss in Papierform!!!!!! vorliegen. Jeder Webseiten/Blog-Betreiber darf sich also diese 18 Seiten ausdrucken, ausfüllen und nach Irland schicken. Denn hier ist der EU Sitz von Google. Warum man das nicht einfach im Rahmen einer AGB Bestätigung mitmachen konnte, ist mir ein absolutes Rätsel. Zu meinem Glück habe ich schon Anfang 2017 diesen Vertrag mit Google abgeschlossen.

Es wird für mich aber noch kurioser. Ich brauche auch einen Datenverarbeitungsvertrag mit meinem Webhosting Anbieter. Warum? Ich habe mit meinem Webhosting Anbieter längst einen Vertrag über das Hosting? Reicht der EU aber nicht! Auch hier wird ein separater Datenverarbeitungsvertrag nötig, da der Webhosting Anbieter ebenfalls Zugriffe meiner Webseite über z.B. Server Logs speichert. Natürlich auch hier, der Vertrag muss in Papierform erfolgen. Es reicht nicht aus, im Kundencenter bei meinem Anbieter per Mausklick den Datenverarbeitungsvertrag abzuschließen. Auch ein Bestandteil der AGBs oder des eigentlichen Vertrages über das Hosting darf die Datenverarbeitung nicht sein.

Nichts mit digital. #Neuland eben, vielen Dank EU. Bei uns in der Firma wird ein Aufwand betrieben ein „papierloses Büro“ zu erreichen und die EU verlangt, druckt um euer Leben. So geht #Umweltschutz!

Anpassung der Datenschutzerklärung

Eine Datenschutzerklärung habe ich natürlich schon lange. Diese muss ich nun nach den neuen Vorgaben umschreiben und ergänzen. Die neuen Vorschriften wollen eingepflegt werden. Natürlich soll/darf man keine Standardtexte mehr verwenden. Die Datenschutzerklärung muss individuelle Ausgestaltungen enthalten. Das ist zum Glück noch eins der kleineren Übel.

Kommentare

Die Kommentarfunktion wird wohl viele Blogger und Webseitenbetreiber mit einem halben Bein in den Knast bringen. Wahnsinn was alleine hier an Fallen lauert, vielleicht hab ich aber auch noch welche übersehen? Passt auf!

Kommentare sind dauerhaft. Das heißt, Kommentare werden in der Datenbank gespeichert. Dafür muss der Benutzer natürlich aktiv zustimmen. Jeder Besucher der kommentiert weiß eigentlich, dass sein Kommentar gespeichert und dauerhaft auf meinem Blog zu sehen ist. Reicht der EU nicht aus.  Ich muss jedem kommentierwilligen Besucher ganz klar auflisten, was alles von ihm gespeichert wird, wenn er ein Kommentar schreibt. Natürlich muss ich jedem Besucher auch einen Weg aufzeigen, wie er jederzeit sein Kommentar wieder löschen lassen kann.
Zudem habe ich das Problem mit der IP-Adresse. Sollte ein Besucher ein Kommentar schreiben, das mich, warum auch immer, in eine Rechtsstreitigkeit führen könnte, möchte ich ja die IP-Adresse haben, um den Autor finden zu können.
Aber nach der DSGVO soll ich Datensparsamkeit an den Tag legen und anonymisieren. Ja, was mache ich jetzt? So oder so, ich steh mit einem halben Bein im Knast. Speichere ich die IP Adresse nicht, könnte ich bei einem Rechtsstreit Ärger bekommen. Speichere ich die IP, verstoße ich gegen die DSGVO. Danke für die klare Gesetzesgebung @EU!

Gravatar

Für meine Kommentarfunktion habe ich bisher den Dienst Gravatar genutzt, wie gefühlt fast alle Blogger. Bei Gravatar kann ich mein Profil zentral hinterlegen und zudem mit einem Icon und meinem Namen versehen. Auf allen Blogs und Webseiten, die Gravatar nutzen, kann ich ohne großen Aufwand kommentieren und mein Profil wird automatisch gezogen. Damit sehen meine Kommentare auf allen Blogs identisch aus und tragen mein Logo.
Ein toller Service, der Kommentare nicht nur übersichtlicher, sondern das kommentieren auch unheimlich erleichtert.
Leider musste ich Gravatar deaktivieren. Einige Diskussionen im Netz interpretieren allerdings, dass man sich hier mit einer Einverständniserklärung des Nutzers helfen kann. Das heißt, der Benutzer muss vor dem Kommentieren explizit einen Haken setzen, dass überprüft wird, ob für eine E-Mailadresse bei Gravatar ein Profil hinterlegt ist und wenn ja, dass diese Daten übernommen werden dürfen.
Für mich ist dies aktuell zu heiß. An Gravatar wird die E-Mailadresse des Benutzers übermittelt. Die E-Mailadresse gehört definitiv zu den persönlichen Daten. Ich bräuchte daher nicht nur eine explizite Zustimmung des Nutzers, sondern (meiner Meinung nach) auch einen Datenverarbeitungsvertrag mit dem Gravatar Dienstleister, denn dieser verarbeitet ja persönliche Daten.
Daher deaktiviere ich den Dienst schweren Herzens erst einmal und warte ab, wie heiß die Suppe gegessen wird. Die Kommentare sehen nun nicht mehr so schön aus, da die Logos und Icons nicht mehr gezogen werden. Das tut mir als Betreiber am meisten weh. Tut mir leid!

Spam in den Kommentaren

Um Spam in meinen Kommentaren automatisiert zu löschen, nutze ich den Dienst Akismet. Der Dienst ist in WordPress standardmäßig integriert und arbeitet nahezu fehlerfrei und ganz ohne mein Zutun. Alle Kommentare werden automatisch auf Spam überprüft. Wenn Akismet einen Spam Kommentar erkennt, wird dieser direkt in den SPAM Ordner verschoben, ich werde damit gar nicht erst behelligt. Im März wurden 38 Kommentare direkt entsorgt. Ein super Dienst, der sehr zuverlässig funktioniert.
Problem ist nur, dass dafür neben der IP Adresse auch der Name, die E-Mailadresse und der Kommentarinhalt an den Akismet Server übermittelt wird. Das ist ab Mai dank DSGVO natürlich nicht mehr möglich!
Entweder ich verzichte auf eine Spam-Prüfung oder ich muss mir einen neuen Dienst suchen, der hoffentlich DSGVO kompatibel sein wird.

Ich habe bisher sehr offen und automatisiert neue Kommentare zugelassen. Für mich gehört die Kommentarfunktion einfach zu einem Blog dazu. Ich möchte bei neuen Artikeln, dass meine Leser auch schnell in den Kommentaren diskutieren und ihre Meinung kundtun dürfen.
Zuerst habe ich ein weiteres Plugin Akismet Privacy Policies getestet. Hiermit habe ich die Möglichkeit noch eine Checkbox in die Kommentarfunktion einzubauen. Hier muss mir nun jeder Kommentierer erlauben, dass ich seine Kommentardaten, sowie E-Mailadresse und IP Adresse in die USA zur Spamprüfung über die Akismet Server laufen lassen darf. Damit müsstest du bei deinem nächsten Kommentar schon ganze zwei! Haken setzen. Das ist natürlich unschön und rechtlich auch nicht ganz sauber, da Akismet deine Daten „verarbeitet“ und ich zusätzlich auch noch einen Datenverarbeitungsvertrag mit Akismet bräuchte.

Ich habe mir jetzt Akismet komplett deaktiviert und teste das Plugin „Antispam Bee“ Hier wird mit dem europäischen Datenschutzrecht geworben. Mal schauen wie sich das Plugin im Alltag schlägt.

Es gibt nur eine Facebook-Seite, die WICHTIG für dich ist! Jetzt auf Facebook entdecken!

Privacy by Design / Privacy by Default

Privatsphäre ist gefordert, gespeichert werden darf nur, was für die jeweilige Datenverarbeitungstätigkeit notwendig ist. Zusätzlich ist die Führung eines sogenannten „Verarbeitungsverzeichnisses“ gefordert, auch für Unternehmen unter 250 Mitarbeitern. Außer, wenn:

  • die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt,
  • die Verarbeitung nur gelegentlich erfolgt und
  • die Verarbeitung keine sensiblen Daten bzw. keine Daten über strafrechtliche Verurteilungen beinhaltet.

Das hier ist mein absoluter Liebling. Das Verzeichnis müssen nur Unternehmen führen, die mehr als 250 Mitarbeiter haben. Hier hatte ich beim ersten Lesen direkt aufgeatmet und gedacht. Puh, ich bin weit entfernt von 250 Mitarbeitern, mir fehlen da noch genau 250 Mitarbeiter 🙂 Die EU-Bürogratie-Tiger haben sich natürlich noch ein „aber“ überlegt. Es soll ja nicht zu einfach werden.

Schon der erste Punkt „[…] die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt“ soll mir was genau sagen? Meine Datenverarbeitung auf meinem Blog darf kein Risiko darstellen. Wie soll irgendein Mensch im Internet garantieren, dass Daten ohne Risiko verarbeitet/gespeichert werden? Ich bin Diplom-Informatiker, bisher wurde so ziemlich jeder Schutz gehackt. Unter jeder Mauer lässt sich ein Tunnel graben. Was muss man nur für Medikamente nehmen, um solch formulierte Gesetze zu veröffentlichen?
Da niemand auf der Welt dieses Risiko ausschließen kann, gilt meiner Meinung nach das Verarbeitungsverzeichnis für jeden Blogger oder Webseitenbetreiber.
Auch der zweite Punkt „gelegentlich“ macht es nicht klarer. Was ist eine gelegentliche Verarbeitung? In welchem Kontext steht „gelegentlich“. Natürlich ist das nicht definiert worden. Ich fahre gelegentlich Ski, alle 5 Jahre. Ist nun alle 5 Jahre gelegentlich oder nicht? Alle 3 Tage erhalte ich einen neuen Newsletter-Abonnenten. Ist „alle 3 Tage“ regelmäßig? Das werden dann die Gerichte definieren dürfen.

Unterm Strich bedeutet das, ich werde mir wohl oder übel noch ein Verarbeitungsverzeichnis zulegen dürfen.

Der Spaß mit Youtube

Eine richtig schön versteckte Falle sind Youtube Videos, sobald du diese auf deinem Blog / deiner Webseite einbindest. Die meisten klicken bei einem Youtube Video auf den Teilen-Button und kopieren sich den Short-Link https://youtu.be/…. raus. Das ist ab Mai, wenn ich es korrekt verstanden habe, bereits abmahnungswürdig. Bei der Einblendung des Videos wird auch auf Youtube zugegriffen und Youtube könnte ein Cookie setzen und deinen Besucher tracken. Und? Hast du dafür die Zustimmung des Besuchers?

Ein korrekter Einbau erfolgt über „iframe privacy“. Du klickst wieder auf den Teilen-Button. Nun aber noch auf „Einbetten“. Es öffnet sich ein Pop-Up. Hier musst du noch den Haken bei „Erweiterten Datenschutzmodus aktivieren“ setzen. Nun kannst du den obigen iFrame Code kopieren und DSGVO-konform auf deiner Seite einbinden, ganz ohne Cookies. Geiler Scheiß, was? Woher soll man so etwas bitte wissen? Gefühlt 6 mal klicken um „gesetztes treu“ ein Video einzubinden???? So etwas gibt es nur in der EU!
Statt die EU uns Blogger gängelt, wäre es sinnvoller Google zu nötigen, diese Option in Europa zum Standard zu machen. Aber Google hat eine Lobby!!  Ich nicht.

youtube erweiterten Datenschutzmodus aktivieren
Youtube der erweiterte Datenschutzmodus

Firewall – Safty first aber wie?

Ich setze eine Firewall für meinen Blog ein. Ein sogenanntes Security Plugin, welches mir hilft, meinen Blog sicherer vor Angriffen zu machen. Diese Plugins nutzen natürlich die IP-Adresse des Besuchers. Ist eine IP -dresse in den letzten Stunden auffällig geworden, werden Aufrufe von dieser Adresse auf meinen Blog verhindert.
Was aber, wenn ich eigentlich eine IP Adresse nur noch anonymisiert übertragen dürfte? Dann könnte der Anbieter damit nicht mehr arbeiten. Mit einer IP Adresse könnte ich genau sagen: Max Musterman aus Berlin. Mit einer anonymisierten IP-Adresse könnte ich im bestenfalls vielleicht noch sagen, der Zugriff kommt aus dem Osten Deutschlands oder dem Großraum Berlin.
Auf der einen Seite soll ich für eine Sicherheit sorgen und auf der anderen Seite darf ich aber gewisse Daten (wie eben die IP-Adresse) nicht verwenden, um eben für Sicherheit zu sorgen. Hier beißt sich die Maus in den Schwanz.
Was soll das? Ohne IP Adresse kann dieser Schutz nicht funktionieren? Ich werde das Plugin bis zum 25. Mai aktiv lassen und schauen was bis dahin passiert.

Firewall illegale Zugriffe
Firewall illegale Zugriffe

Jetzt magst du vielleicht denken, der kleine Hobbyinvestor macht einen auf #mimimi. Welcher Hacker soll sich für den kleinen Blog schon interessieren? Persönlich interessiert sich vielleicht kein Hacker für mich. Dafür tun es aber sogenannte „Bots“. Das sind automatische Programme, die nach bekannten Schwachstellen in WordPress Blogs suchen. Wenn Sie erfolgreich sind, wird das gemeldet, wenn nicht, wird weiter gesucht. Alleine aus China werden pro Woche an die 1000 Aufrufe von meiner „Firewall“ geblockt.

Das Kontaktformular

Anrede, Vor- und Nachname und die E-Mailadresse. Das sind so die typischen Felder, die ich für ein Kontaktformular kenne. Nun muss ich begründen, warum ich z.B. den Nachnamen haben möchte? Ist der Nachname wirklich unerlässlich für ein Kontaktformular? Fragen, die ich mir nun stellen muss.
Setzte ich auf ein Kontaktformular Plugin, dass die Eingaben in einer Datenbanktabelle speichert, so muss ich dies dem Nutzer ausdrücklich mitteilen. Zudem benötige ich noch seine explizite Zustimmung dazu!
Ein Benutzer schreibt mir, seine Anfrage wird gespeichert. Klar, ich will sie ja lesen. Das muss ich mir nun explizit erlauben lassen.

Newsletter

Ich habe seit Sommer 2017 einen Newsletterdienst und verschicke sehr unregelmäßig Newsletter. Alle Abonnenten erhalten als Dankeschön mein E-Book. Damit stehe ich demnächst halb im Knast. Das könnte mir demnächst als Nötigung ausgelegt werden.
Zudem brauche ich auch mit meinem Newsletteranbieter einen Datenverarbeitungsvertrag. Natürlich.
Sitzt der Anbieter aber außerhalb der EU, wie zum Beispiel meiner – Mailchimp, dann wird es komplizierter. Mailchimp ist zwar konform gemäß dem Privacy Shield Abkommen aber, ob das reichen wird?
Zudem ist Mailchimp ein modernes Unternehmen und bietet den Datenverarbeitungsvertrag lediglich digital an, über ein Onlineformular kann ich den Vertrag mit Mailchimp abschließen. So ist es für mich normal und wünschenswert. Nicht aber für die EU. Keine Ahnung, ob ein papierloser Vertrag mit einem US-Unternehmen anerkannt werden würde.

Mein Newsletter erfreut sich zwar großer Beliebtheit, aber ich schreibe viel zu wenig Newsletter. Deshalb habe ich mich dazu entschlossen, meinen Newsletter vorübergehend still zu legen. Sollen sich erst einmal Andere vor Gericht die Köpfe einschlagen. Mein E-Book gibt es daher nicht mehr nur an Feiertagen für Umme, sondern jetzt ganz generell. Du darfst dir mein E-Book nun ohne Wenn-und-Aber hier herunterladen.

Praktisches, was man so alles einbindet

Google Fonts

Es wird kurioser, aber alles ist wirklich von der EU ernst gemeint.
Mein WordPress-Theme nutzt eine der kostenlosen Google Fonts (die Schriftart). Dies hat den Vorteil, dass man Hunderte toller Schriftarten nutzen kann und nicht nur auf Arial & Co angewiesen ist.
Das Problem ist nun, dass jeder Besucher die Schriftart herunterladen muss, wenn diese noch nicht im Browsercache ist. Dabei erhält Google natürlich deine IP-Adresse und könnte dich damit im geheimen tracken und einen Cookie setzen.
Dreimal darfst du raten, dieses Vorgehen könnte mich viel Geld kosten. Ich darf nicht einfach von einem Benutzer die IP-Adresse an irgendwen weitergeben, zumal ich nicht einmal die Zustimmung dazu habe.

Ein Dividendendepot schnell und einfach aufbauen? Mit nur einem Trade?
Schnell ein Dividenendepot aufbauen!

Nach meinem logischen Denken gehe ich davon aus, dass Google die DSGVO umsetzten und einhalten muss. Damit darf Google dann, die IP-Adresse, die die Schriftart lädt, auch nicht mehr anderweitig tracken.
Damit sollte für mich eigentlich nichts weiter zu tun sein.
Aber der Teufel ist ein Eichhörnchen. Wahrscheinlich wissen die Politiker eh, dass sie gegen Google keine Chance haben. Also muss ich mir eine neue Schriftart suchen.
Zum Glück gibt es mittlerweile genug Wege und Anleitungen, wie man diese Schriftarten lokal auf seinem Webspace bereitstellen kann. Hat natürlich den Nachteil, dass ich Updates und Änderungen selber einpflegen muss.

jQuery, Bootstrap und Co

jQuery ist ein Javascript Framework, dass viele Funktionen auf meinem Blog steuert. Damit jeder Besucher immer die aktuellste Version hat, wird bei jedem Aufruf die aktuellste jQuery Version über CDN heruntergeladen, wenn diese noch nicht im Browser-Cache ist. Dabei kann natürlich auch wieder die IP-Adresse abgegriffen werden. Dies passiert analog für viele fertige Frameworks, z.B. auch für Bootstrap.
Als Blogger muss ich nun wirklich tief in der Materie sein und mein Theme genau kennen. Die im Browser integrierten Toolbars zeigen, ob Inhalte von „fremden“ Servern geladen werden. Hier sollte man ab Mai eine weiße Weste haben.
Eine absolute Katastrophe, weil ich nun z.B. jQuery und Bootstrap lokal auf meinem Webspace „hosten“ muss. Sollten die Anbieter Sicherheitsupdates herausbringen, muss ich mich selbst um die Aktualisierung kümmern.
Ein richtiger Scheißdreck ist das. Ich hoffe, hier wird das „Gesetz“ bald aufgeweicht.

Emojis

Wir steigen nun noch tiefer in die Kuriositäten hinab. Die Emojis!
Seit WordPress 4.2 werden getippte Smileys automatisch als „grafische Smileys“ umgewandelt. So kennt man es von Facebook, Whatsapp & Co. Dummerweiße geschieht dies nicht lokal. Also ist dies auch ab Mai verboten. Das richtig gute an der Geschichte ist, man kann das in WordPress (noch) nicht deaktivieren. Ich müsste nun in der functions.php aktiv werden und den Dienst hier im Quellcode deaktivieren. Noch warte ich bis zum Stichtag im Mai und hoffe, dass WordPress dies mit einem Update nach schiebt.

Emoji - süß, nützlich und ab Mai gefährlich
Emoji – süß, nützlich und ab Mai gefährlich

RSS Feed

Ich hatte FeedBurner im Footer gesetzt. Dieser „funkt“ auch Heim. Daher habe ich nun einfach einen Link auf meinen lokalen RSS Feed gesetzt.

Die diversen Plugins

Wie viele andere Blogger setze ich natürlich auch diverse WordPress Plugins ein. Nun darf ich jedes Plugin überprüfen, ob dies gemäß der DSGVO arbeitet und keine Daten abgreift oder unerlaubt Cookies setzt.
Wie mache ich das? Frage ich beim Anbieter nach und verlasse mich auf dessen Aussage? Prüfe ich selbst den Quellcode? Oder Google ich nach dem Plugin in Bezug auf das Schlagwort „DSGVO“?

Sonstiges Punkte, die ich schon sehr lange einsetze

Cookie Hinweise

Diese Hinweise blende ich schon sehr lange ein. Jedem Besucher ist daher bewusst, dass mein Blog Cookies setzt.

SSL-Verschlüsselung

Auch die SSL Verschlüsselung wird seit Bestehen des Blogs bereits eingesetzt.

Social Share Buttons

Ich nutze seit Bestehen des Blogs bereits das Plugin Shariff für die Einbindung der Share Buttons für die sozialen Medien wie Facebook, Twitter und Co. Dieses Plugin arbeitet bereits DSGVO konform, hab ich gehört und gelesen. Im Quellcode geprüft habe ich es nicht. Noch nicht.

Google Analytics Opt Out

In meiner Datenschutzerklärung hat jeder Nutzer seit Langem die Möglichkeit, sich über ein Opt-Out Cookie dem Tracking zu entziehen. Eine dauerhafte und allgemein gültige Lösung bieten Browser-Plugins wie Ghostery oder Adblock Plus.

Google Analytics IP-Anonymisieren

Seit jeher werden IP-Adressen an Analytics auf meinem Blog nur anonymisiert übergeben. Da kann ich also auch ein Haken dran machen.

Mein Meinung zur DSGVO

Ein kleines Schmankerl zum Schluss:
Die DSGVO gilt für alle Unternehmen, die in der EU tätig sind. Dafür muss das Unternehmen keine Niederlassung in der EU haben, es reicht, wenn das Unternehmen Dienstleistungen oder Waren innerhalb der EU anbietet.
Ich finde diesen Text herzallerliebst. Da strahlt man übers ganze Gesicht über so viel Naivität, Unverständnis oder schlichte Dummheit unserer EU-Abgeordneten.
Was wird die DSGVO den Chinahändler auf eBay interessieren oder einen Glückspielanbieter auf den Malediven?
Einfach Zuckersüß diese Annahme, dass das irgendjemandem in Asien & Co interessieren wird. Der Staat schafft es nicht einmal, dass diese Händlern in Deutschland die Umsatzsteuer zahlen.

Für mich und meinen Blog war es einfach nur sehr viel Arbeit. Größtenteils unnütze Arbeit. Meine Kommentare sind nun ohne Profilbilder und ich kann den Spam nicht mehr automatisch filtern. Besucher, die mein Kontaktformular nutzen, müssen erst mal drei Kreuze machen und werden sich sicher denken, dass ich einen an der Klatsche habe.
Meine Firewall ist halb illegal und Emotionen in Texten darf ich nicht mehr mit Emojis vermitteln.

Völlig vernebelte Gesetze, die unterm Strich doch niemandem wirklich helfen. Große Konzerne haben ihre Anwälte und werden die Sache aussitzen. Für die kleineren Unternehmen wird der Spaß kommen. Ich bin mich sicher, hier werden sich ab Ende Mai einige Anwälte austoben.

Und für alle Blogger wird es echt gefährlich. Der ganze Wulst an möglichen Gefahren ist doch gar nicht mehr zu überschauen. Ich habe in den letzten Wochen sehr viel über die DSGVO gelesen und bin auch beruflich damit konfrontiert. Aber immer, wenn man denkt, man kennt alles, liest man wieder etwas, was man dann doch noch nicht auf dem Schirm hatte.

Viele Kleinigkeiten fallen den meisten Bloggern doch gar nicht auf. Zum Beispiel die Google Fonts. Hier braucht man wirklich schon technisches Verständnis, um das in seinem eingesetzten Theme auszubauen bzw. zu ändern.
Natürlich werden viele denken: „Ach komm, lass die Kirche im Dorf. Ich mach ja eh kaum Geld damit, was wollen die bei mir holen?“.
Dazu kann ich nur sagen:

a) Es geht Primär gar nicht um die Strafe an sich. Sondern auch um die Anwalts- und Gerichtskosten, die du zu tragen hast. Und natürlich den ganzen Ärger, den man dann am Hals hat.

b) Viele der DSGVO-Verstöße lassen sich leicht mit automatisierten Crawlern finden. Ein perfekter Nährboden für „tüchtige“ Anwälte.

Gut gemeint, schlecht gemacht.

Ich würde mich sehr freuen, wenn du diesen Beitrag teilen würdest

19 Gedanken zu „DSGVO – Was du wissen musst!

  • 26. April 2018 um 8:42
    Permalink

    Danke für den Einblick eines (Profi) Bloggers – ich bin auch beruflich mit dem Thema involviert und denke die wirklich heiße Phase kommt nächstes Jahr bis zum Stichtag muss erst einmal sehr viel Dokumentiert werden und die – sofern nicht eh vorhanden – Einwilligung der Nutzer zur Speicherung eingeholt werden. Erst danach kommt das Aufarbeiten der bisherigen Systeme sofern es wirtschaftlich vertretbar ist (was auch immer das heißen wird) …
    Mein Blog ist so was von nicht wirtschaftlich – da kommt nichts rum dabei (auch kein Gewerbe) und trotzdem hast du Recht einfach laufen lassen kann man das nicht – werde aber noch etwas abwarten und schaune was die Best practices werden. Sprich wenn du mit der Antispam Bee zufrieden bist – dann kommt die rein.
    Um die weiteren plugins kümmere ich mich dann so nach und nach…
    Btw.: kennst du https://addons.mozilla.org/de/firefox/addon/umatrix/ Umatrix ein sehr geniales Plugin (auch nervig) mit dem man einzeln jedes Cookie/JS/CSS pro Domain freigeben/sperren kann – deine Seite ist vorbildlich läd nur von drei Seiten was nach ich bin noch bei 15 was viel ist aber nicht im Vergleich zu Nachrichten Seiten (z.B. die Washington Post mit 45 Seiten)….

    Antwort
    • 26. April 2018 um 19:49
      Permalink

      Hi tbee,

      sobald du auf deinem Blog nur einen Banner oder einen Affiliate Link hast, kann man dir schon gewerbliche Nutzung unterstellen. Unabhängig, ob du damit Geld verdienst oder nicht.

      umatrix kenne ich auch, hab es auch installiert aber nicht aktiv, das ist schon etwas nervig hier jede Webseite korrekt einzustellen 🙂
      Aber ich habe es auch genutzt, um meinen Blog „zu optimieren“.

      Schöne Grüße
      Sebastian

      Antwort
  • 26. April 2018 um 9:54
    Permalink

    Jaja, alles doof in der EU.

    Auch wenn es viel Arbeit macht, viele dieser Regulierungen sind aus Endnutzersicht sehr sinnvoll, auch wenn sich Otto Normal dafür nicht interessiert.

    Mir geht es schon seit Jahren auf den Keks, dass man beim Besuch einer Webseite, den Content von zig anderen Seiten herunter laden muss. Wieso muss jede CSS-Datei, Schriftart etc. extern gehostet werden? Wieso macht ihr Blogger / Webseitenbetreiber euch so abhängig und wieso verschenkt ihr indirekt unsere Daten an unzählige Dienste?

    Hättet ihr nicht so scham- oder gedankenlos gehandelt, wären solche Regulierungen gar nicht nötig. Man sollte nicht immer nur empört auf Facebook zeigen, sondern auch mal bei sich selbst anfangen. Nur weil es alle so machen, muss es nicht richtig sein.

    Sorry, sind nur meine 10ct und vermutlich auch nur eine Einzelmeinung.

    Antwort
    • 26. April 2018 um 19:49
      Permalink

      Hi js,

      großartiger Kommentar! Vielen Dank für deine Meinung.

      Ich würde gern auf deine Fragen eingehen. Du fragst, warum wir uns von externen Diensten so abhängig machen.
      Dies hat meiner Meinung nach drei Gründe:
      1) Standardiesierung
      2) Verringerung der Komplexität
      3) Erhöhung der Sicherheit

      Zu Punkt 1)
      Als Webseitenbetreiber möchte ich, dass meine Seite auf allen Geräten gleich aussieht. Die Seite soll schnell laden und die Schrift darf sich nicht verändern. Wenn ich ein Bild auf dem Smartphone öffne, soll das nicht mit 3000px aufgehen.
      Damit ich mich, um die Technik nicht kümmern muss, greifen die Themes der Content Management Systeme auf fertige Lösungen zurück. Bekannteste Lösungen sind z.B. jQuery oder Bootstrap.

      Zu Punkt 2)
      Eine Webseite z.B. Responsive zu machen, ist kein Selbstläufer. Es sei denn, du bist ein Webentwickler. Alle Anderen stehen vor einer sehr großen Herausforderung.
      Auch die Schriftart ist oft unterschätzt. Wer als Webseitenbetreiber mehr will als nur Arial oder Times New Roman kann ebenfalls auf fertige Lösungen, wie Google Fonts setzen (https://fonts.google.com/).
      Warum die Schriftart von Google laden und nicht selber Hosten? Ganz einfach, weil das nicht trivial ist. Wenn ich eine Schriftart einsetzen will, die wirklich auf ALLEN Geräten funktioniert, dann sieht der Aufruf im CSS wie folgt aus:

      @font-face {
      font-family: ‚Roboto‘;
      font-style: normal;
      font-weight: 400;
      src: url(‚../fonts/roboto-v18-latin-regular.eot‘); /* IE9 Compat Modes */
      src: local(‚Roboto‘), local(‚Roboto-Regular‘),
      url(‚../fonts/roboto-v18-latin-regular.eot?#iefix‘) format(‚embedded-opentype‘), /* IE6-IE8 */
      url(‚../fonts/roboto-v18-latin-regular.woff2‘) format(‚woff2‘), /* Super Modern Browsers */
      url(‚../fonts/roboto-v18-latin-regular.woff‘) format(‚woff‘), /* Modern Browsers */
      url(‚../fonts/roboto-v18-latin-regular.ttf‘) format(‚truetype‘), /* Safari, Android, iOS */
      url(‚../fonts/roboto-v18-latin-regular.svg#Roboto‘) format(’svg‘); /* Legacy iOS */
      }

      Ich brauche 6 Dateien, um wirklich alle gängigen Geräte wie Desktop-Browser oder Smartphones bedienen zu können. Kommt ein neues Gerät auf den Markt oder fällt ein Problem/Bug auf, dann gibt es eine neue Font-Datei bzw. eine neue Version und ich muss mich wieder selbst um den Einbau kümmern. Beziehe ich die Schriftart z.B. von Google übernimmt Google die Arbeit für mich.

      zu Punkt 3)
      Die Sicherheit. Gerade bei dem Javascript Framework jQuery ist es wichtig auf dem aktuellsten Stand zu sein. Nicht nur, dass alle Browser unterstützt werden, sondern auch damit alle bekannten Sicherheitslücken geschlossen sind.
      Alleine schon aus Sicherheitsgründen macht es keinen Sinn alles selbst lokal zu hosten.
      Und Nein, einen Blog ohne jQuery oder Alternative willst du nicht wirklich mehr benutzen 😉

      Zu deiner zweitern Frage: Warum verschenkt ihr Daten?
      In den meisten Fällen geht es um die IP-Adresse die übermittelt wird, zum Beispiel in den oben gennanten Fällen.
      Aber auch bei einer Firewall wird geprüft, ob die IP-Adresse in den letzten Stunden „negativ Aufgefallen“ ist. So etwas kann ich nicht lokal halten. Hier muss ich mich auf große Dienste verlassen, die möglichst Breit die Aktivitäten überwachen.
      Monatlich kann ich rund 1000 Bot-Aufrufe aus China mittels eines solchen Firewall-Dienstes verhindern. Diese Bots suchen nach bekannten und ungefixten Schwachstellen in meinem Blog. Ich schütze mit einer Firewall also meinen Blog vor etwaigen Hakern und damit auch die Daten meiner Benutzer (z.B. die Kommentardaten). Nun darf ich die IP-Adresse nicht mehr übermitteln. Damit verliere ich den Schutz.
      Soll aber gleichzeit für noch mehr Sicherheit sorgen, so will es die EU.
      Eine unlösbare Aufgabe.
      Meiner Meinung nach kann daher von „verschenken“ keine Rede sein.

      Die DSGVO ist ja ein guter und richtiger Ansatz aber nur eine lokale Lösung. Das Internet ist weltweit. Wenn du in Hamburg in St. Pauli die Luft sauber machen willst. Lohnt es sich dann nur in St. Pauli Bäume zu pflanzen, wenn der Rest von Hamburg sich nicht ändert oder gar noch ein Kohlekraftwerk baut?
      Und genauso ist es auch hier. Die Big Player im Internet sitzen in den USA und in China. Glaubst du, die EU wird jemals wissen, was Google oder Alibaba tatsächlich alles speicheren?
      Laut EU wird auch Google und Alibaba DSGVO konform werden müssen. Warum also, darf ich dann die Dienste nicht einfach nutzen?

      Antwort
    • 27. April 2018 um 20:41
      Permalink

      „Hättet ihr nicht so scham- oder gedankenlos gehandelt, wären solche Regulierungen gar nicht nötig.“

      Wird lokal gehostet, gibt es keine automatischen Updates mehr. Sicherheitslücken bleiben teils bis zum Sankt-Nimmerleins-Tag offen. Das ist keine böse Absicht, sondern der Tatsache geschuldet, dass nicht jeder Hobby-Blogger regelmäßig die Versionshistorie aller Abhängigkeiten durchgeht. Ist ja schließlich nur ein Hobby, und nicht jeder ist technisch so visiert.

      Ich kann mir aber schon denken, wer am lautesten schreit, sobald die neu aufklaffenden Sicherheitslücken ins öffentliche Rampenlicht rücken. Diejenigen, die diese Sicherheitslücken durch Meinungen wie die zitierte oben geschaffen haben.

      Und wenn der Blogger dann auch noch für die Sicherheitslücken haftbar gemacht wird und die Bloggerszene endlich vernichtet wurde. Wer regt sich dann über die Web-Monokultur von FB und wenigen anderen Datenkraken auf? Genau diejenigen, die die Bloggerszene aus Datenschutgründen kaputt gemacht haben.

      Ich hoffe natürlich, dass es nicht soweit kommt. Aber ganz ausschließen tue ich es nicht.

      Antwort
  • 26. April 2018 um 11:54
    Permalink

    Opt Out reicht nach DSGVO leider nicht mehr aus. Es wird ein Opt In mit Kopplungsverbot benötigt. D.h. Du musst den Kunden als erstes Fragen ob du diese Dienste benutzen darfst. Gibt der Kunde nicht seine Einverständnis, darf dieser nicht von der Webseite ausgesperrt werden. https://www.youtube.com/watch?v=DIjTZ5DqGmY
    https://www.sap.com/germany/index.html Sap hat das schon sehr gut umgesetzt. DSGVO ist nur der Anfang E-Privacy kommt auch noch und die hat es in sich.

    Ich hab wegen der Verordnung meine Selbständigkeit auf Eis gelegt.

    Antwort
    • 26. April 2018 um 19:51
      Permalink

      Ich seh schon, ich hab doch noch was übersehen 🙂
      Opt In ist mir bisher noch nicht unter gekommen. Das heißt, wenn ich als Newsletter Dienst Mailchimp nutz, muss der Nutzer nicht nur seine Mailadresse per Double Opt-In bestätigen, sondern vorher erst, ob seine Daten an Mailchimp gehen dürfen?

      Schöne Grüße
      Sebastian

      Antwort
      • 1. Mai 2018 um 15:19
        Permalink

        Ja. Du musst auch einen ADV (Auftrag für Datenverarbeitung mit Mailchimp und auch mit deinem Hoster und Outlook) abschließen, dass er zustimmen muss, kann man am besten via Check boxen im Formular erledigen. Der Newsletter kommt aber erst später. Als erstes solltest du deinen Cookie hinweis updaten, in beispielsweise „Stimme zu“ „Stimme nicht zu“ und „mehr erfahren“. Bei den Stimmt nicht zu muss Automatisch ein Opt Out für Analytics und ähnliche Dienste erfolgen. Bzw. die Datenverarbeitung darf erst erfolgen, wenn du die Ausdrückliche Zustimmung vom User hast.

        Evtl. Solltest du einen Auskunfstprozess aufstellen. Ich bin mir sicher Spitzfindige Anwälte werden einfach nachfragen, was gespeichert ist und wenn man nicht richtig antwortet bekommt man einen drüber. Siehe hier:
        https://medium.com/@abashin/der-dsgvo-horror-brief-ein-kunde-will-seine-daten-b6bbfacfef47

        Btw. Es wäre cool, wenn man deinen Kommentar bereich Abonnieren könnte. Dann würde man auch mitbekommen, dass du einen geantwortet hast 😀

        Dir alles gute.

        Gruß,

        Pascal

        Antwort
  • 26. April 2018 um 13:41
    Permalink

    Moinsen!
    Ich habe zwar kaum einen Halbsatz verstanden aber das die Scheiße scheiße ist wusste ich schon vorher! Bin mal gespannt… Demnach müssten die Blogs bald reihenweise dicht machen, die Geldstrafen nur so sprudeln und die Gefängnisse noch voller werden! Welcher „Hobbyblogger“ wird denn auch nur annähernd diese ganzen Fallstricke ausmärzen wollen oder können?!?

    Das ist bestimmt alles richtig was du da berichtest aber ich schwöre dir, dass mindestens 95% davon nicht geahndet werden, bzw. sowieso wieder aufgeweicht werden, bzw. die Verantwortlichkeiten doch noch richtig adressiert werden. Alles andere wird nicht funktionieren, was nicht heißt, dass es (anfänglich) keine Opfer geben wird, die ordentlich bluten müssen. Und wahrscheinlich werden das die kleinen ahnungslosen sein…

    Alles Gute 😛

    Gruß
    Vincent

    Antwort
  • 26. April 2018 um 15:43
    Permalink

    Danke für den klasse Artikel. Einmal als trauriges Beispiel für das, was aus der EU geworden ist und einmal für jene von uns, die damit umgehen müssen.

    So. Und jetzt rasch gefreut, dass ich meine Nutzerdaten bei dir löschen darf und nach reichlich Überlegung schließlich den Haken gesetzt, dass du meine Nutzerdaten überhaupt speichern darfst.

    Es lebe die Obhut der Europäischen Union.

    Lieben Gruß!

    Antwort
    • 26. April 2018 um 19:57
      Permalink

      Hi Torsten,

      ein schönes Resümee.
      Sag Bescheid, wenn ich deinen Kommentar löschen soll 🙂

      Schöne Grüße
      Sebastian

      Antwort
  • 26. April 2018 um 23:04
    Permalink

    Es ist interessant, einen Beitrag aus Blogger-Sicht zu lesen, wie die DSGVO so gesehen wird.

    Allerdings, glaube ich, sind die Konsequenzen die du ziehst, nicht in allen Fällen notwendig. Denn am Grundsatz, dass das Verarbeiten von personenbezogenen Daten verboten ist, es sei denn es liegen Erlaubnistatbestände vor, hat sich nichts geändert. Daraus ergibt sich: Du darfst personenbezogene Daten erheben und du darfst sie auch an Dritte weitergeben, wenn es eine passende Rechtsgrundlage gibt.

    Ich will das hier nicht zu weit ausführen, aber hier lohnt wirklich ein Blick *in* die DSGVO: In Artikel 6 Absatz 1 (https://dsgvo-gesetz.de/art-6-dsgvo/), dort findest du drei Tatbestände, die für dich in Frage kommen: Vertragserfüllung (Buchst. b), Interessenabwägung (Buchst. f), Einwilligung (Buchst. a). In deinem Firewallbeispiel könnte man gut argumentieren, dass dein Interesse am Schutz des Betriebs deiner Website schwerer wiegt als das Interesse des Betroffenen, da z.B. ausschließlich die IP-Adresse für einen *begrenzten* Zeitraum gespeichert wird. Die Daten zu diesem Zweck an einen Dienstleister weiterzugeben ist m.E. unproblematisch, wenn du mit diesem Dienstleister einen AV-Vertrag schließt. Bei der Übertragung außerhalb der EU musst du bestimmte Regeln einhalten (vgl. Art. 44–50 DSGVO) aber auch hier gibt es Gestaltungsmöglichkeiten.

    Das gilt analog auch für den Aksimet-Spamschutz, Gravatar usw. da kann man mit einem berechtigten Interesse (Art. 6 Abs. 1 Buchst. f) argumentieren und sofern die Firmen unter das Privacy Shield fallen, ist das aus rechtlicher Sicht nicht zu beanstanden.

    Zur Frage nach den Checkboxen bei Kommentaren: Gibt es bei Datenschutz-Gruru hilfreiche Hinweise: https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/

    Antwort
  • Pingback:In den Töpfen der Anderen #53 » Finanzküche

  • 14. Mai 2018 um 13:00
    Permalink

    Ich könnte so viel schreiben, aber ich beschränke mich mal auf drei Anmerkungen:

    Spammer auf einem WordPress-Blog verhindert man am Einfachsten ohne datenschutz-problematische Plugins, indem man die Erstkommentar-Moderation einschaltet. Findet sich im Adminpanel in den Kommentareinstellungen. Mache ich seit vielen Jahren.

    Einen IP-Block, um Hackversuche abzuwehren (IP gesperrt nach zwei Fehlversuchen zum Login) finde ich ebenfalls datenschutzrechtlich unproblematisch, da niemand außer mir etwas auf der Loginseite zu suchen hat. Wer mich deswegen versuchen würde abzumahnen, den würde ich „gegen“-abmahnen wegen des illegalen Versuchs, in meinen Blogadmin-Bereich einzudringen.

    Den Einsatz von Firewalls halte ich auch für eher unproblematisch – es weiß ja niemand. Sofern es eine serverseitige System-FW ist, hat sie mit dem Blog selbst im Übrigen auch nichts zu tun.

    Was mich dagegen allerdings nervt, sind irgendwelche Anforderungen an schriftliche Verträge mit dem Hoster oder wem sonst noch. Und die Gefahr, dass man sich mit Formulierungsschwächen in der dsgvo-konformen Datenschutzerklärung womöglich gleich Abmahngeier in die Bude holt.

    Bis sich die Lage klärt, habe ich jedenfalls in meinem Fotoblog Kommentare komplett abgeschaltet, und momentan denke ich sogar daran, das Blog ganz abzuschalten. Irgendwann geht mein Spaß daran nämlich auch mal zu Ende. Und solcherart unfähige Rechtspolitik trägt stark zu dieser Spaßminderung bei.

    Antwort
    • 14. Mai 2018 um 20:13
      Permalink

      Hi Boris,

      du bringst es auf den Punkt, einen Blog zu führen wird immer schwieriger und man steht quasi mit einem halben Bein im Knast 🙂

      Die Erstkommentar-Moderation habe ich auch aktiviert aber man wird ja trotzdem über jeden Kommentar per Mail informiert. Mein vorher eingesetzter Spamfilter hat mich über Spam Kommentare gar nicht erst informiert.

      Schöne Grüße
      Sebastian

      Antwort
      • 16. Mai 2018 um 7:11
        Permalink

        Streng genommen ist es ja noch absurder, denn man braucht gar kein Blog oder eine statische Webseite zu führen, um einen gesonderten schriftlichen Verarbeitungs-Vertrag mit dem Hoster abschließen zu müssen, wie du schreibst:
        Es reicht, Inhaber einer Domain zu sein, diese über einen Hoster registriert zu haben, um darüber bloß E-Mails senden und empfangen zu können. Nichts weiter!
        Denn schon in diesem Minimalfall ist die Domain serverseitig eingerichtet und kann in einem Webbrowser aufgerufen werden. Da kommt dann ja eine dieser typischen Leerseiten auf den Schirm – und das hinterlässt einen Eintrag im Serverlog, für den man schon, wie ich es verstanden habe, besagten schriftlichen Vertrag mit dem Provider benötigt. Und eine DSGVO-konforme Datenschutzerklärung, Verarbeitungsverzeichnis und was noch alles.

        Das ist zumindest das Risiko angesichts der Möglichkeit, dass (geistig und monetär) bedürftige Abmahner hier ganz neue Pfründe entdecken sollten… warten wir es ab.

        Antwort
  • 18. Mai 2018 um 20:37
    Permalink

    Ich bin kein Rechtsanwalt, daher ist das nur meine „persönliche Meinung“. Wenn man die DSGVO „streng“ auslegt ist „jeder“ externe Connect zu nennen.

    DH. kein Youtube / Vimeo o.ä ohne vorher den Nutzer zu fragen. Viele versuchen hier zu trixen indem Sie nur das Vorschaubild des Videos laden (lokal im cache) und erst bei einem Klick den Iframe nachladen. Hier sehe ich dann aber wieder eine Urheberrechtverletzung wegen des lokal liegenden Bildercaches.

    Denn wenn CDN Dienste wie Bootstrap CDN ein Problem sind die mit Hashes sicherstellen das jeder nutzer eine „unveränderte“ Datei bekommt, dann ist Youtube und co sicher der MEGABURNER.

    Antwort
  • 23. Mai 2018 um 22:15
    Permalink

    Hi

    hier noch eine Info (via Fefe blog.fefe.de)
    Zitat “ Bist du ein Blogger?

    Machst du dir Sorgen, dass du wegen DSVGO abgemahnt werden könntest?

    Nun, der Klabautercast 154 https://klabautercast.de/folge-154-datenschutz/ kann euch da vielleicht die Sorgen nehmen. Maha redet mit Bea (Fachanwältin u.a. für Datenschutz), und ab ca. 55 Minuten geht es um Blogger und was für Belastungen die DSGVO wirklich auslöst.

    Antwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.