Die neue Datenschutz-Grundverordnung: Wie die DSGVO Blogger zum Handeln zwingt

08/05/2018

Ende Mai 2018 tritt die neue Datenschutz-Grundverordnung (kurz: DSGVO) in Kraft. Sie hat große Auswirkung auf alle Webseiten – auch Blogs. Wie zwingt die DSGVO Blogger zum Handeln? Was müssen Blogger tun, um die DSGVO umzusetzen?

english

dsgvo-datenschutz-grundverordnung-blogger-blumen-laptop-office-flowers-table-desk-mycs-mirror-spiegel-macbook-notebook-notizbuch-interior-arbeitszimmer-arbeitsplatz

Wie die DSGVO Blogger zum Handeln zwingt

Die neue Datenschutz-Grundverordnung

Schnellzugriff:
Wen betrifft die DSGVO?
Welche Daten dürfen jetzt verarbeitet werden?
Was müssen Blogger jetzt tun?
Grund zur Panik?
Cookies
Datenschutzerklärung
Plug-ins
Auftragsvereinbarungsvertrag
Verfahrensverzeichnis
Koppelungsverbot
Beispiel: Newsletter
Problem: Google Fonts
Hilfreiche Links

Schnellzugriff:
Wen betrifft die DSGVO?
Welche Daten dürfen jetzt verarbeitet werden?
Was müssen Blogger jetzt tun?
Grund zur Panik?
Cookies
Datenschutzerklärung
Plug-ins
Auftragsvereinbarungsvertrag
Verfahrensverzeichnis
Koppelungsverbot
Beispiel: Newsletter
Problem: Google Fonts
Hilfreiche Links

Ist die neue DSGVO gut oder schlecht?

Das kommt ganz darauf an, ob man Nutzer oder Betreiber einer Webseite ist. Die Datenschutz-Grundverordnung (DSGVO) will, dass Webseiten so wenig personenbezogene Daten wie möglich sammeln. Nur das, was wirklich notwendig ist. Für die Nutzer ist sie also gut. Für alle Webseitenbetreiber, egal ob multimillionen Dollar Unternehmen oder kleine Blogger, ist die neue EU-Verordnung ärgerlich, denn sie umzusetzen ist mit viel Aufwand und Zeit verbunden. Und man hat davon nicht mal einen Vorteil – im Gegenteil: Webseitenbetreiber können Daten nicht mehr so leicht sammeln, aber das ist für Blogger (oder zumindest für uns) sowieso nicht relevant.

Wen betrifft die DSGVO?

Die DSGVO gilt in ganz Europa. Sie sorgt dafür, dass für jeden Europäer der gleiche Datenschutz gilt. Bisher gab es zwar schon eine ähnliche Richtlinie, die hat Deutschland aber nicht umgesetzt, sodass hier ein ziemlich laxes Datenschutzrecht galt. Das ändert sich nun zum 25.5.2018!

Haftungsausschluss: Ich bin kein Anwalt oder Datenschutzexperte, daher besteht keine Garantie oder Gewähr auf Richtigkeit oder Vollständigkeit. Wenn ihr also mal vor Gericht stehen solltet, beruft euch bitte nicht auf diesen Post!

dsgvo-datenschutz-grundverordnung-blogger-laptop-office-table-desk-mycs-macbook-notebook-notizbuch-interior-arbeitszimmer-arbeitsplatz-coffee-kaffee-aesop-handcreme-byredo-candle-kerze

Welche Daten dürfen jetzt noch verarbeitet werden?

Nach Artikel 6 DSGVO gibt es vor allem drei Fälle, in denen personenbezogene Daten gesammelt werden dürfen.

Der einfachste ist, wenn der Nutzer seine Einwilligung gibt.

Daten dürfen aber auch dann gesammelt werden, wenn sie zur Erfüllung des Vertrages erforderlich sind. So zum Beispiel, wenn der Nutzer euren Newsletter abonnieren will. Da muss er seine Email-Adresse angeben, sonst kann er ja den Newsletter nicht erhalten.

Auch wenn für die Nutzung der Seite rechtliche Verpflichtungen bestehen, dürfen Daten erhoben werden. So zum Beispiel, wenn ihr Inhalte habt, die erst ab 16 oder 18 Jahren sind. Da dürft oder müsst ihr natürlich das Alter abfragen.

Es gibt auch noch weitere Fälle, aber die halte ich für Blogger für nicht wirklich relevant.

Was müssen Blogger jetzt tun?

Alle Blogger, die eine Webseite betreiben, müssen jetzt aktiv werden, denn jede Webseite sammelt Daten des Nutzers, selbst wenn man das gar nicht weiß oder will. Bisher reichte es, wenn man den Nutzer lediglich informierte, dass man Daten sammelt. Dies muss sich nun ändern – und zwar grundlegend. Wer dies nicht tut, riskiert ein empfindliches Bußgeld. Zugegeben, die Chance, erwischt zu werden, ist relativ gering. Die zuständigen Behörden werden wohl erst mal die großen Unternehmen überprüfen. Es könnten aber Strafen aus dem Wettbewerbsrecht geben, denn wer die neuen Vorgaben nicht umsetzt, verschafft sich einen Vorteil gegenüber seinen Konkurrenten. Diese könnten dann eine Unterlassungserklärung bis hin zu Schadensersatz verlangen – und Anwaltskanzleien verdienen durch solche Abmahnwellen sehr viel Geld.

Grund zur Panik?

Eigentlich nicht, denn wie gesagt, Blogger werden sicherlich nicht direkt am 25. Mai überprüft. Und wenn doch, dann bekommt ihr nicht sofort eine Strafe sondern dürft noch nachbessern, wenn ihr zeigen könnt, dass ihr zumindest versucht habt, die DSGVO umzusetzen. Aber: Wenn ihr Blogger-Kollegen habt, die es böse mit euch meinen, dann dürften die euch über das Wettbewerbsrecht verklagen und darauf würde ich es nicht ankommen lassen!

Cookies

Bisher reichte es in Deutschland, den Nutzer darauf hinzuweisen, dass die Webseite Cookies sammelt. Der Nutzer konnte dann entweder auf OK klicken oder die Webseite verlassen – er hatte keine andere Wahl. Das ändert sich jetzt. Die Nutzer müssen selbst entschieden können, ob sie Daten hinterlassen wollen oder nicht.

Was bedeutet das für den Blogger?

Er muss nun den Nutzer beim ersten Besuch fragen, ob er Cookies nutzen darf oder nicht. Er muss den Nutzer also zwischen JA und NEIN wählen lassen. Ganz wichtig ist aber, dass ein NEIN nicht den Zugang zur Webseite verweigert. Der Nutzer muss alle Inhalte also auch dann lesen können, wenn er die Cookies verweigert. Wer mit WordPress arbeitet, braucht dafür ein angepasstes Plug-in, zum Beispiel dieses hier.

Datenschutzerklärung

Nach der DSGVO soll der Nutzer umfänglich und transparent darüber informiert werden, welche Daten eine Webseite von ihm nutzt und sammelt. Dafür muss der Webseitenbetreiber eine Datenschutzerklärung-Seite anlegen – am besten direkt neben Impressum und About, sodass es im Menü sichtbar ist.

Hier beginnt die große Arbeit, denn hier muss wirklich alles rein.

Wer erhebt die Daten?
Welche Daten werden erhoben?
Warum werden die Daten erhoben?
Wie lange werden die Daten gespeichert?
Falls es berechtigte Gründe gibt, die Daten zu erheben, müssen diese genannt werden (siehe oben).
Außerdem muss man auf das Recht des Nutzers hinweisen, Auskunft über die gesammelten Daten zu bekommen und Beschwerde bei einer Aufsichtsbehörde einlegen zu können.
Alle weiteren Vorgaben findet ihr unter Artikel 13 DSGVO.

Plug-ins

Damit ist es aber noch nicht getan, denn nicht nur ihr selbst bzw. eure Webseite sammelt Daten, sondern auch die Plug-ins, die ihr beispielsweise in WordPress installiert habt. Das geht vom SEO-Tool und Google Analytics bis zum Newsletter oder rewardStyle Widget.

Hier müsst ihr zwei Dinge beachten. Zum einen müsst ihr jedes einzelne Widget nennen und beschreiben. Ihr müsst sagen, wohin die Daten gehen und wer die Daten verarbeitet.
Das herauszufinden ist natürlich mühsam und kostet sehr viel Zeit, da helfen Tools wie Ghostery.

Damit ist es aber noch nicht getan. Im Gegenteil, denn das Wichtigste ist, dass die Plug-ins selbst die Regeln der DSGVO einhalten. Bei professionellen deutschen oder europäischen Plug-ins könnt ihr das eigentlich erwarten, anders ist das aber bei Plug-ins, die nicht aus der EU kommen (und das sind die meisten), da müsst ihr vorsichtig sein. Jedes einzelne Plug-in selbst zu prüfen wäre sehr aufwendig, deshalb gibt es Seiten wie diese hier, die das schon gemacht haben, auch wenn sie selten vollständig sind. Im Ernstfall kann es aber bedeuten, dass ihr eure Plug-ins wechseln müsst.

Am besten schreibt ihr noch in eure Datenschutzerklärung, dass wenn man diese Webseite verlässt, eventuell Daten von Dritten erhoben werden.

Auftragsvereinbarungsvertrag

Mit Plug-ins und allen anderen Diensten, die ihr nutzt und die selbst Daten von euren Nutzern sammeln – dazu gehören Google Analytics, Pinterest, MailChimp usw. – müsst ihr einen Auftragsverarbeitungsvertrag schließen. Klingt lästig (ist es auch), aber sichert euch gegen Schadensersatzklagen ab.

Auftragsverarbeitung ist das Outsourcing von Prozessen aus dem eigenen Unternehmen. Verstoßen die Unternehmen, die ihr beauftragt (zB. Google Analytics, Pinterest oder MailChimp), gegen Gesetzte – zum Beispiel die DSGVO – müsst trotzdem ihr für den entstandenen Schaden haften. Falls ihr aber einen Auftragsverarbeitungsvertrag geschlossen habt, in dem festgelegt ist, dass sich der Vertragspartner an die Regeln halten muss, seid ihr fein raus, wenn der Partner sich trotzdem nicht daran hält, denn ihr habt ihn ja angewiesen, sich daran zu halten.
Schließt also mit jedem Dienst, den ihr nutzt, diesen Vertrag. Die Unternehmen, selbst die aus den USA, legen euch da keine Steine in den Weg, denn sie müssen diesen Vertrag auch eingehen, um keine Probleme mit der EU zu bekommen. Wenn Unternehmen bei e-Privacy registriert sind, haben sie diese Verträge meist schon zusammengestellt. Oft sind es nur ein paar Klicks.

Wenn ihr das alles beachtet und in der Datenschutzerklärung auf eurer Webseite festhaltet, seid ihr bis zu diesem Punkt auf der sicheren Seite. Damit ist es aber leider noch nicht getan.

Verfahrensverzeichnis

Jeder Betreiber einer Webseite ist dazu verpflichtet, ein Verfahrensverzeichnis zu erstellen. Wichtig: Das müsst ihr nicht online stellen, sondern in der Schublade haben, wenn bei euch mal eine Prüfung anstehen sollte.

In diesem Verfahrensverzeichnis schreibt ihr alle Prozesse innerhalb eures Unternehmens auf, bei denen personenbezogene Daten verarbeitet werden. Davon fühlt man sich als Blogger, der keinen eigenen Online-Shop hat, wahrscheinlich erst mal nicht betroffen, aber auch ihr verarbeitet personenbezogene Daten. Zum Beispiel, wenn ihr die Nachricht über einen neuen Kommentar per Email bekommt oder Newsletter anlegt. Hier müsst ihr jeden einzelnen Prozess darlegen. Wie detailliert das sein muss? Who knows. Ich würde mal sagen, hier zählt bei einer Prüfung der gute Wille, also dass man es überhaupt gemacht hat. Alles weitere lässt sich dann sicherlich nachbessern.

Koppelungsverbot

Das in der DSGVO enthaltene Koppelungsverbot betrifft uns zwar nicht, ich erwähne es aber trotzdem mal. Es betrifft Webseitenbetreiber, die Dienstleistungen kostenlos zur Verfügung stellen, um sich die persönlichen Daten der Nutzer abzugreifen. Ihr kennt das: Dieses Muster für einen Lebenslauf gibt es zwar umsonst, ihr müsst dafür aber alle eure Daten plus Geburtstag der Oma angeben. Wenn also die Daten mit der Dienstleistung nichts zu tun haben, nennt man das koppeln und das ist von nun an verboten.

Beispiel: Newsletter

Am Beispiel des Newsletters lassen sich die Neuerungen der DSGVO ganz gut erklären. Das Newsletter Tool ist in der Regel ein Plug-in. Ihr müsst also sicherstellen, dass es mit der DSGVO in Einklang steht, einen Autragsvereinbarungsvertrag schließen und das Plug-in inklusive aller Informationen in eurer Datenschutzerklärung angeben. Bei der Anmeldung zum Newsletter braucht ihr die Email-Adresse des Nutzers. Diese dürft ihr als Pflichteingabe markieren. Alle anderen persönlichen Angaben dürft ihr abfragen, ihr müsst dem Nutzer aber die Möglichkeit lassen, diese freiwillig einzugeben – macht sie also nicht zu Pflichtangaben. Wenn ihr dann in eurem Verfahrensverzeichnis auch noch darlegt, wie ihr intern in eurem Unternehmen mit den daraus gewonnen personenbezogenen Daten umgeht, seid ihr auf der sicheren Seite.

Problem: Google Fonts

Google Fonts sind ein Problem, das wir bisher nicht gelöst haben. Ich habe darüber mit dem Hamburger Grafiker und Webdesigner Robert Hähle gesprochen. Die meisten kennen Google Fonts vermutlich gar nicht oder wissen nicht, dass sie es nutzen. Die Themes eurer Webseiten haben die unterschiedlichsten Schriften. Diese sind aber meist nicht Teil des Themes und damit auch nicht auf eurem Server, sondern auf einem Google-Server ausgelagert. Die Themes nutzen sogenannte CDNs, also einen Link zu der Schrift auf dem Google-Server. Das ist aber ein Verstoß gegen die DSGVO, weil der Nutzer einen Request zu den Google-Servern schicken muss, um die richtige Schrift in seinem Browser angezeigt zu bekommen, und Google sammelt dadurch natürlich Daten. Jetzt könnte man natürlich alle Schriftarten dieser Welt – oder zumindest eine Hand voll – auf dem eigenen Server speichern, das ist auch nicht wirklich kompliziert, aber ist ein unnötiger Aufwand und belegt kostbaren Speicherplatz.

Hilfreiche Links

DSGVO

Fragebogen zur DSGVO des
Bayerischen Landesamts für Datenschutzaufsicht

DSGVO-konformes Plug-in für Cookies

Datenschutzerklärungs-Generator

Ghostery

Auf DSGVO geprüfte Plug-ins

dsgvo-datenschutz-grundverordnung-blogger-laptop-office-table-desk-mycs-macbook-notebook-notizbuch-interior-arbeitszimmer-arbeitsplatz-byredo-candle-kerze-goldener stuhl-golden chair-montblanc-pen-füller-stift


The new General Data Protection Regulation and it’s effect on bloggers

At the end of May, the General Data Protection Regulation (GDPR) will enter into force. It has a big impact on all website operators – including bloggers. What does the GDPR mean for bloggers? What do bloggers have to do to implement the GDPR?

Disclaimer: I am not a lawyer or privacy expert, so there is no guarantee of accuracy or completeness. So if you should be in court, please do not refer to this post!

Is the new GDPR good or bad?
It all depends on whether you are a user or operator of a website. The General Data Protection Regulation (GDPR) wants websites to collect as little personal data as possible. Only what is really necessary. So it’s good for the users.
For all website operators, whether the multi-million dollar company or the little blogger, the new EU regulation is annoying, because it takes a lot of effort and time to implement it. And you do not even have an advantage – on the contrary: website operators cannot collect data so easily, but that’s not relevant to bloggers (or at least for us) anyway.

Who does the GDPR apply to?
The GDPR is valid throughout Europe. It ensures that the same data protection applies to every European. So far, there has already been a similar directive, but Germany has not implemented, so here has been a rather lax privacy law. This changes on 25th May 2018! If you aren’t from Germany but from the European Union, this law applies to you, too!

Which data can be processed?
According to Article 6 GDPR, there are three main cases in which personal data may be collected.
The simplest case is when the user gives his consent.
However, data may also be collected if it is necessary to fulfill the contract. For example, if the user wants to subscribe to your newsletter, he has to enter his email address, otherwise he will not be able to receive the newsletter.
Even if there are legal obligations to use the site, data may be collected. For example, if you have content that is only for people aged 16 or 18 and over. Of course you may or you even have to query the age.
There are other cases, but I do not think that’s really relevant for bloggers.

What do bloggers have to do now?
All bloggers who run a website must now take action, because every website collects data of the user, even if you do not know or want to. So far, it has been enough if you only informed the user that you collect data. This has to change now – and fundamentally.
Those who do not so risk a significant fine. Honestly, the chance of being caught is relatively small. The competent authorities will probably check the big companies first.
However, in Germany penalties could result from competition law, because those who do not implement the new requirements will gain an advantage over their competitors. These could then require a declaration of discontinuance as far as compensation – and law firms earn a great deal of money by so many written warnings.

Cookies
So far, it has been sufficient in Germany to inform the user that the website collects cookies. The user could either click OK or leave the website – he had no choice. That changes now. The users have to decide for themselves whether they want to leave data or not.
What does that mean for the blogger?
He must now ask the user at the first visit, whether he may use cookies or not. He must therefore let the user choose between YES and NO.
Most importantly, a NO does not deny access to the site. The user must also be able to read all contents even if he refuses the cookies.
If you work with WordPress, you need a custom plug-in, for example this one.

Privacy Policy
According to the GDPR, the user should be comprehensively and transparently informed about what data a website uses and collects from him. For this, the website operator must create a privacy policy page – preferably right next to Imprint and About, so that it is visible in the menu.

This is where the big work begins, because everything really has to go in here:
Who collects the data?
What data is collected?
Why is the data collected?
How long is the data stored?
If there are legitimate reasons to collect the data, these must be mentioned (see above).
In addition, one must point out the right of the user to obtain information about the collected data and to be able to lodge a complaint with a supervisory authority.
All other requirements can be found under Article 13 GDPR.

Plug-ins
But that’s not all, because not only you or your website collects data, but also the plug-ins that you have installed for example in WordPress. This ranges from the SEO tool and Google Analytics to the newsletter or rewardStyle widget.

Here you have to pay attention to two things. First, you have to name and describe every single widget. You have to say where the data goes and who processes the data.
Of course it’s tedious to find out and it costs a lot of time, but tools like Ghostery help you.

But that’s not all. On the contrary, because the most important thing is that the plug-ins comply with the rules of the GDPR. With professional German or European plug-ins you can expect that, but that’s different with plug-ins that are not from the EU (and most of them are), so you have to be careful.
Checking every single plug-in itself would be very time-consuming, so there are sites like this one that have already done that, even if they are rarely complete. In an emergency, it may mean that you have to change your plug-ins.

It’s best to write in your privacy policy that if you leave this website, data may be collected from third parties.

Processor Contract
With plug-ins and all the other services you use that collect data from your users – including Google Analytics, Pinterest, MailChimp, etc. – you’ll need to make a processor contract. Sounds annoying (and it is!) but secures you against damages.
Processing is the outsourcing of processes from your own company. If the companies that you commissioned (eg Google Analytics, Pinterest or MailChimp) violate laws – for example the GDPR – you still have to be liable for the damage. But if you have a processor contract that stipulates that the contractor needs to abide by the rules, you’ll be fine if the partner does not stick to it, because you told him to do so.
So contract with every service you use. The companies, even those from the US, are not putting any obstacles in your way, because they have to enter into this contract in order to avoid any problems with the EU. When companies are registered with e-Privacy, they have usually already put together these contracts. Often it’s only a few clicks.

If you follow all of this and keep it in your privacy policy on your website, you are on the safe side up to this point. Unfortunately, that is not enough.

Directory of Procedures
Each operator of a website is required to create a directory of procedures. Important: You do not have to put it online, but in the drawer, in case you are reciewed.
In this procedure directory, you write down all processes within your company that process personal information. As a blogger, who does not have his own online store, you may not feel affected, but you also processed personal data. For example, if you get the message about a new comment via email or newsletter. Here you have to explain every single process. How detailed does that have to be? Who knows. I would say, here the good will counts in any review for that you have done it at all. Everything else can be improved then.

Prohibition of Coupling
The prohibition of coupling contained in the GDPR does not affect us, but I mention it anyway. It applies to website operators who provide services free of charge in order to access the personal data of users. You know that: This pattern for a CV is free, but you have to specify all your dates plus grandma’s birthday.
So if the data has nothing to do with the service, it’s called coupling and that’s forbidden from now on.

Example: Newsletter
The example of the newsletter explains the innovations of the GDPR very well.
The newsletter tool is usually a plug-in. You must therefore ensure that it complies with the GDPR, make the contract and specify the plug-in including all the information in your privacy policy.
When registering for the newsletter you need the email address of the user. You may mark this as a compulsory entry. You may ask for any other personal information, but you must give the user the option to enter it voluntarily – so do not make it mandatory.
If you then set out in your procedural directory, how you deal with the obtained personal data internally in your company, you are on the safe side.

Problem: Google Fonts
Google fonts are a problem we have not solved yet. I have talked to the Hamburg graphic designer and web designer Robert Hähle about it. Most of you probably do not even know Google Fonts or do not know that you use them.
The themes of your web sides have different fonts. These are usually not part of the theme and therefore they are not on your server, but outsourced to a Google server. The themes use so-called CDNs, thus a link to the font on the Google server. But this is a violation of the GDPR, because the user must send a request to the Google servers to get the correct font displayed in his browser and Google therefore collects data, of course.
Now of course you could save all the fonts of this world – or at least a hand full – on your own server, which is not really complicated, but is an unnecessary effort and takes up precious storage space.

Leave A Comment