DSGVO: Checkliste für Website und Blog

Die DSGVO trat am 25. Mai 2018 in Kraft.

Weitreichende Änderungen und ein höherer bürokratischer Aufwand beschäftigen Blogger und Website-Inhaber. Da man von hohen Geldbußen liest.

Personenbezogene Daten sind zu schützen und sparsam mit umzugehen. Das regelt die einheitliche Verordnung für EU-Länder und Länder, die Daten von EU-Bürgern abgreifen. Die Datenschutzgrundverordnung (kurz: DSGVO) regelt die Handhabung personenbezogener Daten von Menschen mit Sitz in der EU. Ab dem 25. Mai 2018 gilt diese Verordnung unmittelbar für alle EU-Länder. Das Gesetz ist über die DSGVO-Website aufrufbar: https://dsgvo-gesetz.de/

Welche Daten sind personenbezogen?

Beispielsweise der Name, die E-Mail-Adresse, die IP-Adresse, die Wohnortadresse, Telefonnummern, Zugehörigkeit einer Religion, Gesundheitsdaten, Zahlungsdaten, etc.

Ich schreibe hier aus eigener Erfahrung als Website-Inhaberin. Aber auch als Selbständige, die Websites für Kunden in Deutschland erstellt.

In diesem Beitrag stelle ich mein Wissen zur Verfügung aus sehr intensiven Recherchen der letzten Wochen. Aber:

Ich kann und darf niemals Rechtsberatung durchführen.

Da wirklich jede Website ganz unterschiedlich aufgebaut ist und ich keine Juristin bin, verweise ich an dieser Stelle, bitte sich selbst anwaltliche Unterstützung im Zusammenhang der DSGVO zu holen. Mein Beitrag erhebt keinen Anspruch an Vollständigkeit.

Wann gilt die DSGVO?

Ein Beispiel kann sein, wenn ein Freiberufler mit Sitz in der Schweiz einen Newsletter über seine Website anbietet, den Personen in der EU abonnieren können. Oder ein Schweizer Unternehmer hat einen Online-Shop und bedient Kundschaft in der EU. So greift auch hier die DSGVO und sind die Maßnahmen zum Schutz persönlicher Daten umzusetzen.

Bei einem Online-Shop, ob mit Sitz in der EU, in der Schweiz oder außerhalb, der Daten von Personen der EU abgreift, sind Datenschutzmassnahmen zu treffen.

Es stellt sich auch die Frage, ob ein Datenschutzbeauftragter oder wie häufig in der Schweiz Datenschutzvertreter genannt, einzusetzen ist. Dies bitte vor dem 25. Mai 2018 klären und wenn diese Person notwendig ist, bitte in den Datenschutzbestimmungen namentlich nennen.

Weitere Infos zum Datenschutzbeauftragten in der Schweiz: https://www.datenschutz-notizen.de/die-schweiz-und-die-datenschutzgrundverordnung-0020134/

Informationen zum Datenschutzbeaufragten in Deutschland: https://www.hk24.de/produktmarken/beratung-service/recht_und_steuern/wirtschaftsrecht/medien_it_recht/datenschutzbeauftragte/1156886

Bevor ich zu den Informationen und To-Dos der Website komme, grundsätzliche Infos, was ein Unternehmer zur Umsetzung der DSGVO zu tun hat.

[Edit: Am 1. Mai 2018 habe ich einige Passagen ergänzt und aktualisiert. In eigenen Websites und Kunden-Websites vor einiger Zeit angepasst. Ich hatte nur noch keine Zeit, diesen Blogartikel dahingehend zu aktualisieren.]

Ein Verzeichnis der Verarbeitungstätigkeiten führen (z. B. in einer Excel-Tabelle oder in einem Word-Dokument). Mit letzterem habe ich anhand der Mustervorlage den ersten Teil begonnen als Verantwortliche für mein eigenes Unternehmen https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/Inhalt/Verarbeitungstaetigkeiten/Muster-Verarbeitungsverzeichnis-Verantwortlicher.pdf

Im nächsten Schritt dann für jeden Auftraggeber die Inhalte aufnotiert. Dazu das Muster als Auftragsverarbeiter mir zur Hilfe genommen. Es ist jedem Auftraggeber zuzusenden per E-Mail, ihn unterschreiben zu lassen und dann in den Unterlagen aufzuheben. Für den Fall der Fälle, dass dieser hoffentlich nie eintrifft und man Unterlagen einer Aufsichtsbehörde senden muss. Muster für den Auftragsverarbeiter: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/Inhalt/
Verarbeitungstaetigkeiten/Muster-Verarbeitungsverzeichnis-Auftragsverarbeiter.pdf

Hinweise zum Ausfüllen findest Du hier: https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Verfahrensregister/Inhalt/Verarbeitungstaetigkeiten
/Hinweise-zum-Verzeichnis-von-Verarbeitungstaetigkeiten.pdf

Speziell für Kleinunternehmer finden sich hier Muster für Verarbeitungsverzeichnisse: https://www.lda.bayern.de/de/kleine-unternehmen.html

Notfallplan (a. wie erfahre ich strukturiert davon, wenn etwas passiert ist, wen rufe ich dann sofort an; – b. was macht die Person als Ansprechpartner des Notfallplanes, innerhalb 72 Stunden muss die Datenpanne gemeldet sein, strukturiert und genau ausgearbeitet mit weiteren Maßnahmen).

Die technisch- und organisatorischen Maßnahmen im Unternehmen (hilfreich: https://www.datenschutz-praxis.de/fachartikel/technisch-organisatorische-
massnahmen-das-aendert-sich/
)

Risikobewertung (individuell einzuschätzen)

Datenschutz-Folgeabschätzung, wer agiert wie, mit personenbezogenen Daten, wer informiert bei einer Datenpanne die Behörden und die Kunden (möglicherweise über einen öffentlichen Blogbeitrag).

Wann ist was zu Löschen? Bitte Löschfristen beachten. Die sichere Löschung einzelner Daten aus Speichermedien gewährleisten.

Schutz der Betroffenen

An dieser Stelle möchte ich auf das gut verständlich erklärte Live-Video von Frau Dr. Christiane Tischer verweisen. Es ist öffentlich sichtbar, ohne Facebook-Login und gibt Dir zu den oben aufgeführten Punkten weiterführende Hilfe.

Die Seite des Landesbeauftragten für Datenschutz in Baden-Württemberg hält hilfreiche Tipps und Infos zur Umsetzung bereit. Ein Blick lohnt: https://www.baden-wuerttemberg.datenschutz.de/

Ebenfalls die Bayerische Landesbehörde: https://www.lda.bayern.de/media/muster_adv.pdf

Nun geht’s an die Website! DSGVO willkommen!

Alle unten genannten Informationen zur Website betreffen eine mit wordpress.org erstellte und selbstgehostete Website. Inhaber eines Baukasten-Systems wie Jimdo, Wix oder über 1und1, wenden sich für Infos und einen Auftragsdatenverarbeitungsvertrag bitte dorthin. Zu Jimdo kann ich Dir hier einen ADV weiterleiten: https://jimdo-legal.zendesk.com/hc/de/articles/360000190663-Der-Vertrag
-zur-Auftragsdatenverarbeitung

Ein Auftragsverarbeitungsvertrag von 1und1 ist hier zu finden: https://hilfe-center.1und1.de/hosting/1und1-webhosting-c10085285/archiv-c10082642/
vereinbarung-zur-datenverarbeitung-im-auftrag-adv-a10795589.html 

Komme ich gleich zum ersten Punkt.

Tipp: Auf meiner Facebook-Seite „Socialmediakerstin, die mit WordPress“ finden sich weitere hilfreiche Posts zur DSGVO. Klick auf „Gefällt mir“ auf der Facebook-Seite und Du erhältst automatisch Updates.

Hoster

Mit jedem Hoster ist ein Auftragsdatenverarbeitungsvertrag zu schließen. Denn über die zugehörige E-Mail und die Website werden Daten übertragen. Achte bitte darauf, dass der Hoster verschlüsselt Daten überträgt.

Wer seine Website und den Webspace über 1und1 unterhält, bitte über den Kundenlogin einloggen und direkt den Support für einen Auftragsverarbeitungsvertrag anschreiben.

SSL – kostenfreies Zertifikat über Let’s Encrypt

Daten sind verschlüsselt zu übertragen. Bedeutet, wenn jemand ein Kontaktformular ausfüllt und seine persönlichen Daten einträgt ist das über eine verschlüsselte Verbindung zu tun. Hier kommt das „grüne Schloss“ in der Browserzeile ins Spiel. Das zeigt an, dass die Website verschlüsselt ist und mit https beginnt. Wenn es nicht so aussieht, bitte den Hoster anfragen. Mittlerweise sind diese Zertifikate dank Let’s Encrypt kostenfrei. 

Ist die Website noch nicht auf das sichere Verfahren umgestellt, beginnt sie mit http und trägt folgendes im Browser. 

Nicht neu, erwähnen will ich es zur Vollständigkeit.

Ein Impressum und eine separate Datenschutzseite sind für jede Website notwendig. Beide Seiten sollen schnell auffindbar sein.

Impressum

Bestandteile des Impressums:

Vorname und Nachname
Adresse
Telefonnummer
E-Mail-Adresse

Für weitere Bestandteile unterstützt ein Generator für die Rechtstexte. Beispielsweise über e-recht24 https://www.e-recht24.de/impressum-generator.html

Für Schweizer Unternehmen mit einem Online-Shop, der EU-Bürgern zur Verfügung steht, ein Hinweis unter folgender Überschrift: „Gilt die EU-Impressumspflicht auch im Ausland?“ – (ohne Rechtsberatung meinerseits durchführen zu dürfen), bitte die Infos in dem genannten Absatz lesen, danke: https://steigerlegal.ch/2012/04/01/impressumspflicht-im-e-commerce-fragen-und-antworten/

Datenschutzbestimmungen

Neben dem Impressum ist die Datenschutzseite ein wichtiger Bestandteil der Website. Über meine Mitgliedschaft bei e-recht24 erstellte ich meine eigenen Datenschutzseiten und die für meine Kundenprojekte. Individuell. Bitte die Texte selbst generieren. Vom Kopieren von anderen Seiten ist abzuraten, denn jede Website individuell zu betrachten ist.

Zum Generator für die Datenschutzseite: https://www.e-recht24.de/muster-datenschutzerklaerung.html

Messverfahren – wie Google Analytics

Ein datenschutzkonformes Analysetool, ist das sehr einfache und rudimentäre Tool Statify. Für einige Minuten hatte ich dieses Plugin in meinem Reiseblog Sonnenfernweh integriert, um mir die Oberfläche anzusehen. Die angezeigten Aufrufe spiegeln aufgrund der kurzen Zeit nur ein Bruchteil der Aufrufe wider.

 

Es zeigt die Aufrufe und die aufgerufenen Seiten. Keine IP-Adressen, keine Länderangaben, über welche Geräte, etc. Ausschließen kann man Referrer-Aufrufe. Referrer entstehen durch Signale (Pings), die jemand auf eine Website setzt. Das ist völlig normal. Dann sieht man häufig kuriose Links aus Russland oder den USA. Dies lässt sich in Google Analytics durch Filter ausblenden.

Komm ich schon zu dem am häufigsten eingesetzten Analyse-System: Google Analytics. Neben diesem rangiert Matomo (ehemals Piwik), zu beiden sind Datenverarbeitungsverträge zu schließen.

Deutsche Nutzer drucken für Google Analytics den 14-seitigen Vertrag in zweifacher Weise aus, ergänzen an zwei Stellen den Trackingcode und Angaben zur Website. Senden die beiden Ausfertigungen mit einem frankierten Rückkuvert an Google Irland. Hier zum Auftragsverarbeitungsvertrag: https://static.googleusercontent.com/media/www.google.com/de//analytics/terms/de.pdf

Der Vertrag klärt über die Vorgehensweise, die Rechte und Pflichten auf. Auf der ersten Seite ist nochmal alles erklärt.

Im zweiten Schritt ist im Zuge der DSGVO für den Einsatz von Google Analytics am Quellcode folgendes einzugeben (unter Design -> Editor -> Theme aufrufen -> den Bereich „header.php“; danach unter <head> gleich diesen Code eintragen, vor dem schließenden </head>).

[Edit aktualisiert 26.03.2018: Bitte den folgenden Code verwenden und den eigenen Trackingcode an den blau gekennzeichneten Stellen ersetzen.]

 

Hier der Code zum Kopieren (die Formatierung setzt allerdings die Anführungszeichen kurioserweise nach unten, zum Beispiel beim „UA-Code“, deshalb schau Dir bitte das obige Bild dazu an)

<script type=“text/javascript“>
var gaProperty = ‚UA-XXXXXXXX-Z‚;
var disableStr = ‚ga-disable-‚ + gaProperty;
if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) {
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + ‚=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/‘;
window[disableStr] = true;

alert(‚Google Analytics OptOut successful‘);
}
</script>

<script>
(function(i,s,o,g,r,a,m){i[‚GoogleAnalyticsObject‘]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script‘,’//www.google-analytics.com/analytics.js‘,’ga‘);
ga(‚create‘, ‚UA-XXXXXXXX-Z‚, ‚auto‘);
ga(’set‘, ‚anonymizeIp‘, true);
ga(’send‘, ‚pageview‘);
</script>

Den Code aktualisierte ich am Montag, 26.03.2018, speziell in meiner Datenschutzbestimmung unter Punkt 5 Google Analytics, „Widerspruch gegen Datenerfassung“, den im ersten Absatz gekennzeichneten Link. Mit einem Klick auf „Google Analytics deaktivieren“ widerspricht man der Erfassung von seinen Daten. Hinter diesen drei Worten ist ein Link aus Javascript (einer Programmiersprache), der eigentlich nur das bewirkt was er tun soll, die Erfassung zu deaktivieren. Der Link ist manchmal nicht anklickbar. Die Lösung ist, folgende Zeichen und Linkfolge in die Text Ansicht eintragen. Anstelle der drei Wörter „Google Analytics deaktivieren“ <a onclick=“alert(‚Google Analytics wurde deaktiviert‘);“ href=“javascript:gaOptout();“>Google Analytics deaktivieren</a>

Dann sollten die drei Wörter „Google Analytics deaktivieren“ anklickbar sein. Mit einer kleinen Rückmeldung in einem Fenster. [Aktualisiert am 26.03.2018]

An den beiden gekennzeichneten Stellen bitte den Trackingcode beginnend mit UA-XXXX eintragen und bitte nicht vergessen dies in die Datenschutzseite mit aufzunehmen.

In dem oben gezeigten Code ist das Snippet für das „Opt-Out“ enthalten, bedeutet der eigene Besuch zählt nicht. Hier kann also der Besucher einer Website selbst entscheiden, ob man diesen Klick zählt oder nicht. Und über die Code-Zeile mit dem Snippet „anonymizeIP“ macht man die letzten Ziffern der IP-Adresse unkenntlich.

Bitte nicht vergessen, direkt im Google Analytics Konto alle Regler nachsehen. Dort kann man ja auch noch vieles einstellen, ob man weiblich oder männliche Personen trackt, und vieles mehr. Wenn das der Fall ist, aufnotieren in der Datenschutzseite.

[Edit: aktualisiert 1. Mai 2018] Eine einfache Weise, in eine WordPress Seite ohne Programmierkenntnisse einen Google Analytics Code einzugeben mit anonymisierten IP-Adressen und einem Opt-Out: Installieren des kostenfreien Plugins: https://wordpress.org/plugins/surbma-gdpr-proof-google-analytics/ (bitte vor Installation selbst prüfen, ob es mit der eigenen Seite kompatibel ist).

Der Punkt, datenschutzkonform Google Analytics einbinden, ist erledigt!

Im folgenden Kapitel schauen wir uns die Plugins an, die eine selbstgehostete Website zur Performance, zur Darstellung und zur Sicherheit beinhalten. Unter dem Aspekt, ja genau, der DSGVO. Vielleicht merkst Du, dass mir mittlerweile dieses Thema am Herzen liegt und ich mit dem Beitrag anderen eine Hilfestellung an die Hand geben will.

Plugins datenschutzkonform einsetzen

Zuerst geht es um die Plugins, die ich selbst einsetze und entsprechend änderte. Oder im Hinblick auf die DSGVO gelöschte Plugins.

Antispam Bee

Damit schützt man die Website vor Spam-Nachrichten. Das Plugin arbeitet im Hintergrund und ist dann datenschutzkonform, wenn die vier Haken an diesen Stellen gesetzt sind:

Antispam Bee datenschutzkonform einsetzen

Gesamt sieht es wie folgt aus:

Redirection

Das Plugin Redirection unterstützt bei der Verwaltung und Vermeidung von 404-Fehlerseiten. In dessen Einstellung entdeckte ich die Möglichkeit, anstatt einer vollen IP-Adressen-Übertragung, eine anonymisierte zuzulassen. Also gleich angehakt und gespeichert.

Remove IP

Das Plugin „Remove IP“ anonymisiert IP-Adressen von Kommentatoren. Nur die künftigen. Die alten Kommentare kann man mit dem Plugin „Remove Comment IP“ anonymisieren. Einfach die Plugins installieren. Nach ein paar Stunden sind die IP-Adressen anonymisiert. [Edit: Absatz aktualisiert 1. Mai 2018]

Social Plugins

Die Facebook Like Box war leider schon immer datenschutzrechtlich umstritten. Hintergrund, ist ein Webbesucher bei Facebook eingeloggt und besucht er die Seite, zieht sich Facebook Daten über das Surfverhalten. Ehrlich gesagt, ich hatte dieser Box nie getraut und wenn ich sie noch heute auf einer Website sehe, überkommt mich das Gefühl, „oh, schnell weg von der Website“. Da hilft es nix, bitte diese Box sobald wie möglich löschen. Eine elegantere Lösung ist, ein Foto auf die Seite laden oder in den Quelltext einbinden und mit einem reinen Link zur Facebook-Seite versehen. Schon lotst man den Besucher mit einem Klick auf das Bild zur Facebook-Seite hinüber.

Zum Teilen von Beiträgen auf Twitter, Facebook & Co. nutze ich das eRecht24 Safe Sharing Tool. Die häufig von WordPress Themes mitgelieferten Teilen Button bitte abschalten. Diese sind fleißige Datensammler. Nutz bitte nur das Shariff Wrapper Plugin, wenn Du nicht auf diese komfortable Teilenfunktion verzichten willst.

[Edit: 1. Mai 2018: Bitte in der Datenschutzerklärung prüfen, ob die Plugins zum Teilen erwähnt wurden.]

Gravatar und Avatar

Über Gravatar und wordpress.com hatte ich mir früher ein Konto angelegt und hinterlegte mein Profilbild. Bei jedem Kommentar zeigt es dieses an. Und sammelt. Was? Wieder einmal Daten und überträgt sie zu Servern in den USA. Ich hab das Konto gelöscht bei Gravatar und den Haken gelöscht bei „Avatar anzeigen“. Jetzt sind die Kommentare als reine Texte lesbar. Der eine mag es vielleicht gern mit Profilbild. Klar. Kann ich verstehen. Mir ist eine datenschutzkonforme Seite wichtiger, und so konzentriert sich der Blick auf das Wesentliche, den Kommentar.

Emoticons umschalten

Gleiches gilt für die hübschen Smileys. Zur Ansicht der Bilder greift man auf Servern von wordpress.com zu, auf Auttomatic. Über Auttomatic erzeugt es die Gravatar-Bilder. In den reinen WordPress-Einstellungen kann man den Haken lösen, und schon erzeugt es keine Bilder, sondern den einfachen Smiley. Wobei, es geht auch ohne Smiley.

[Edit 1. Mai 2018: Hier im Blog nutze ich das Plugin „Autoptimize“ zum Löschen veralteter Versionen. Mit dem Plugin kann man gleichzeitig die Emoticons unterbinden.]

Kontaktformular mit Checkbox

Trägt ein Interessent im Kontaktformular seine Daten ein und hinterlässt seine Frage, setzt man eine Checkbox, die der Schreiber anhakt. Er bestätigt damit seine Kenntnis, wie die Datenübertragung erfolgt und die Datenschutzseite erklärt. Das Kontaktformular hatte ich bis vor paar Tagen noch in dieser Website. Doch mögen tu ich diese Formulare nicht. Ich schreib lieber eine E-Mail mit meinem Outlook-Programm. Also habe ich mich vom Kontaktformular befreit.

[Edit 1. Mai 2018: In Kundenwebsites habe ich es so gelöst, dass mit dem Plugin „Contact Form 7“ das Formular erstellt wurde und darin ist ja ohne Probleme eine Checkbox machbar. Diese Checkbox hakt der Kommentator selbst an und wird über einen Zusatz wie, „Datenschutzbestimmungen akzeptieren“ aktiv nochmal auf die Datenschutzseite hingewiesen, die diesen Passus zum Kontaktformular enthält (heißt, die eingetragenen Daten wie E-Mail-Adresse oder Handynummer werden nur zum Zweck der Bearbeitung der Anfrage gespeichert).]

Kommentarfunktion mit Checkbox

Ein Blog lebt von seinen Kommentaren. Sammeln tut man auch. Und zwar: den Namen, die E-Mail-Adresse, die IP-Adresse und wenn freiwillig geschehen, die Website. Im Falle eines unangepassten Kommentars oder rechtswidrigem Inhalt kann man den Kommentator mithilfe der IP-Adresse verfolgen. Ich komme einem unangenehmen Kommentar zuvor, denn ich kontrolliere vor dem Freischalten, was jemand schreibt. Dennoch ist zum Verständnis für einen Webbesucher diese Info einfach erklärt in der Datenschutzbestimmung aufzuführen.

[Edit: 1. Mai 2018: Diese Checkbox mit individuell erstelltem Text machte das Plugin „WP GDPR Compliance“ möglich.]

 

Google Fonts

Häufig bedient man sich für eine gut lesbare Schrift bei Google Fonts. Dort kann man verschiedene Schriftzüge kostenfrei herunterladen. Passend zum Logo und Design der Website. Hinterlegt man den Code direkt am Server, ist es die datenschutzfreundlichste Variante. Weil danach kein Tracking zu Google erfolgt. Verwendest Du Google Fonts Schriftzüge, bitte in der Datenschutzseite eintragen.

Google Maps

Gerne verwendet man im Kontaktformular einen Ausschnitt von Google Maps. Um sich direkt auf den Standort zoomen zu können oder gleich die Router auszurechnen. Wer darauf nicht verzichten will, trägt diesen Punkt in seiner Datenschutzseite ein.

ReCaptcha

Dieses kleine Sicherheits-Tool sammelt ebenfalls Daten und ist in der Datenschutzseite aufzuführen. Das ReCaptcha zeigt, dass man als Mensch das Kontaktformular ausfüllt. Nachdem alle Daten im Formular eingetragen sind, darf man beim Haken setzen Bildchen ansehen und mal Autos oder Ampeln anklicken.

Vimeo und YouTube

Wer diese beiden Bewegtbildportale nutzt, verweist dazu bitte ebenfalls in der Datenschutzbestimmung und kann spezifisch bei YouTube die Videos mittels Haken datenschutzkonform auf seiner Website einbinden. Oder, am besten nimmt man nur einen Link. Geht in der Tat, ich habe eine Website erstellt, die nimmt nur den Link und öffnet das Video zur Ansicht auf der Seite automatisch.

[Hinzugefügt 26.03.2018] YouTube Video mit erweitertem Datenschutzmodus einbetten – 3 Schritte – Markieren – Kopieren:

  1. Auf Teilen klicken und einbetten

2. Haken setzen bei „Erweiterten Datenschutzmodus aktivieren“. Im Bild unten findest Du unterhalb des rosa Rahmens weitere Kästchen zum Anhaken, srolle bitte da nach unten. Nach dem Haken setzen kopierst Du den Code in der umrandeten Markierung.

3. Den Haken finden und setzen. Danach zum oberen Code zurückscrollen und dort kopieren (siehe Bild unter 2.)

Den Code fügst Du anschließend in die „Text“ Ansicht Deiner WordPress Seite.

[Diesen Teil hatte ich am 26.03.2018 ergänzt]

[Edit 1. Mai 2018: In alle Websites mit YouTube Videos integrierte ich das Plugin „Embed Videos and privacy“, damit beim reinen Lesen des Blogbeitrages noch keine Daten des Website-Besuchers übertragen werden.]

Cookie Hinweis

Den kleinen Hinweis-Banner zu den gesetzten Cookies kann man weiterhin einsetzen. Zur bevorstehenden E-Privacy-Verordnung ab voraussichtlich 2019 kommen sicher bald neue Informationen heraus. Danach folgen Maßnahmen, um die Trackingcodes und Cookies näher zu erläutern. Bitte darauf achten, dass der Banner das Impressum und die Datenschutzseite auf dem PC / MAC und mobil nicht verdeckt.

Plugins die eindeutig Daten sammeln und von mir in keiner Website eingesetzt werden:

Jetpack & Wordfence und Woocommerce

Jetpack ist ein Plugin-Paket mit Funktionen wie, die Kommentare abonnieren können oder eine E-Mail-Benachrichtigung erhalten, wenn ein neuer Blogbeitrag veröffentlicht wird. Zum einen beeinträchtigt es genauso wie Wordfence die Performance der Website. Ist halt voll geladen mit Programmiercode. Zum anderen sammeln beide kräftig Daten. Beide setze ich aus diesen Gründen nicht ein. Wordfence zeichnet exakt auf, wer und wann sich jemand in sein Konto in einem Online-Shop einloggt. Hast Du beide im Einsatz, bitte beide zum einen in der Datenschutzerklärung angeben und mit beiden Plugin-Betreibern jeweils einen Auftragsdatenverarbeitungsvertrag schließen. [Edit 27.03.2018: Wordfence und Jetpack arbeiten an Lösungen für eine DSGVO-konforme Umsetzung. Sobald nähere Details vorliegen, ergänze ich dies hier.]

Woocommerce ist für einen Online-Shop ein unerlässliches Plugin. Sehr gut. Aber aufgrund der gesammelten Daten heißt es, Auftragsdatenverarbeitungsvertrag schließen (mit Hinweis in die Datenschutzerklärung).

Ein von Haus aus installiertes Plugin einer WordPress Installation, ist Akismet. Dieses hatte ich als erstes immer deaktiviert und gelöscht. Anstelle dieses Datensammlers nutze ich das oben erwähnte Antispam Bee, mit den vier Haken. Erinnerst Du Dich?

Weitere Plugins sind natürlich auf jeder Website im Einsatz, aber aus Gründen der DSGVO haben sie hier nix zu suchen.

Newsletter

Dieses Thema nehme ich als letzten Punkt in diese Checkliste mit auf, denn im Zuge der DSGVO ist hier auch etwas zu tun.

Mailchimp Newsletter

Häufig eingesetzt wird der „Affe“, wie ich ihn gerne nenne: der Mailchimp Newsletter.

Ein Auftragsverarbeiterungsvertrag bitte mit Mailchimp schließen (hier klappte es online und per E-Mail sehr schnell): https://mailchimp.com/legal/forms/data-processing-agreement/index.php

Mailchimp Nutzer können einen Muster-Generator von Herrn Rechtsanwalt Dr. Thomas Schwenke nutzen https://drschwenke.de/mailchimp-newsletter-datenschutz-muster-checkliste/

Die Datenschutzseite ist auch wirklich schnell erledigt: Angaben anhaken, den html-Text kopieren und in WordPress auf die Seite eingeben. Bitte nicht in die „visuelle“ Ansicht, sondern in die „Text“ Ansicht (siehe Bild unten). Denn da setzt es automatisch die Absätze und Formatierungen richtig. Abspeichern nicht vergessen. Und zum Schluss bitte die Seite aufrufen und die Links prüfen. Insbesondere den Teil zu Google Analytics, dass das Opt-Out Script richtig anklickbar ist.

Mad Mimi

Einer meiner Lieblings-Newsletter ist von Mad Mimi.

Meine Frage nach einem Auftragsdatenverarbeitungsvertrag beantwortete der Kundenservice umgehend. Aktuell arbeitet man an einem GDPR-Tool (GDPR = Englisch für General Data Protection Regulation, das ist im Deutschen die DSGVO). Zu erwähnen ist Mad Mimi natürlich auch auf der Datenschutzseite.

Mehr Infos bietet aktuell Mad Mimi zur GDPR: https://help.madmimi.com/what-is-gdpr-and-how-does-it-affect-me/

Zu guter Letzt!

Das Koppelungsverbot „Freebie“

Wer bisher ein kostenfreies PDF oder Ebook auf seiner Website anbot, holte sich im Gegenzug mindestens die E-Mail-Adresse des Interessenten. Eben, nix kostenfrei. Man zahlte mit seinen Daten. Die E-Mail-Adresse landete danach im Newsletter-Verteiler. Ab dem 25. Mai 2018 gilt folgendes: Das Ebook kann sich der Interessent weiterhin per E-Mail-Adresse oder über direkten Klick herunterladen. Jedoch darf der Website-Betreiber die eingetragene E-Mail-Adresse nicht automatisch in die Newsletter-Liste überführen. Sondern, hier die Lösung! Darunter ein Hinweistext, der über den Newsletter aufklärt. Sprich, wie häufig und zu welchen Themen der Newsletter-Versand erfolgt. Danach ein Kästchen zum Anhaken, das der Interessent selbst anhakt und gleichzeitig die Kenntnisnahme der Datenschutzbestimmung anerkennt.

Vielleicht meint die eine oder andere, das gibt Einbußen in meinem Online-Business. Ich bin der festen Überzeugung, dass sich hier die Spreu vom Weizen trennt. Die „Richtigen“ tragen sich ein. Die „Unwichtigen“ bleiben draussen.

 

Willst Du meiner öffentlichen „Datenschutz“-Liste auf Twitter folgen? Dann klick hier und Du siehst aktuelle Tweets. https://twitter.com/coach4marketing/lists/datenschutz

Zum allerletzten Schluss: Diese Zeilen habe ich als Bloggerin geschrieben. Die ich durch eigene und ausführliche Recherche erworben habe. Gelernt habe ich kein Jura. Ich kann keine Rechtsberatung Dir geben. Ich bin keine Juristin. Hoffe, auch nie damit persönlich in Konflikt zu geraten. Ich wollte meine geschätzten Kunden, Blogleserinnen und Blogleser informieren. Nicht mehr. Auch keine Werbung für die verlinkten Seiten machen. Also bitte selbst bei rechtlichen Fragen sich an adäquate Stellen wenden. 

Danke, dass Du bis hierher gelesen hast!

 

Titelfoto © Pixabay/succo

DSGVO: Checkliste für Website und Blog
Markiert in:                 

Kerstin Paar

Als Online-Marketing-Beraterin unterstützt Kerstin Paar Solo-Unternehmerinnen und Selbständige in ihren Marketingtätigkeit und im Netz mit eigener Website sichtbar zu sein. Über Einzelcoachings oder E-Mail-Services zeigt sie auf leicht verständliche, kompetente und sympathische Art die Vorzüge der Sozialen Medien und den wirkungsvollen Einsatz einer eigenen Website auf. Eine performante Website ist das Herzstück im Marketing. Ein Herzensprojekt der Online-Marketing-Fachfrau mit Reiselust ist das Bloggen auf ihrem Reiseblog "Sonnenfernweh". Als Reisebloggerin schreibt sie Reiseberichte, inspiriert von ihren Unternehmungen mit dem E-Bike und für Tourismusregionen. Im Mai 2018 war sie damit quer durch Deutschland unterwegs. Seit 2011 ist Kerstin Paar in sozialen Netzwerken als Beraterin tätig. Mit anschließender Zertifizierung zur Online-Marketing-Managerin unterstützte sie Unternehmen der Energiewirtschaft, Coaches, Autoren und Selbständige. Mit Lust und Freude an ihrer Arbeit schätzt sie die Einzelberatungen und den Teamgeist in Kleingruppen.