Ich habe letzte Woche einen Anruf aus Deutschland erhalten – die Telefonnummer gab ihm einer meiner Kunden die ein kleines regionales Handwerks-KMU in einem kleinen Ort betreibt. Darin hat mir eine Anwaltskanzlei aus Hannover erklärt, dass sie dem Kunde einen Datenschutzbeauftragten für nur 2500 € im Jahr verkaufen / anbieten wollen. Diese Anwalt am Telefon war dann schon ein wenig schockiert, als ich angefangen habe zu kichern wie ein kleines Mädchen.

Ich habe mich darum entschieden hier mal einen Artikel zu schreiben, was man als Blogger denn genau tun muss.

Und ja ich bin kein Anwalt und darum könnt ihr euch entscheiden, ob ihr meinem Text hier glaubt oder nicht. Aber ich werde hier nicht die Lieblings-Antwort der Anwälte geben „Kommt drauf an“ – sondern ich versuche hier eine gute Anleitung zu machen, was man tun muss/kann um DSGVO rechtskonform umzusetzen.

Dieser Artikel wird am 2. Mai 2018 veröffentlicht und wird regelmässig aktualisiert und erweitert.

Ist man Unternehmen, also verkauft man Dinge oder Dienstleistungen nach Deutschland oder die EU?

Ja, sorry – du hast die Arschkarte gezogen und darfst die DSGVO umsetzen – ich empfehle dir da als Unternehmen wirklich deinen Hausanwalt darauf anzusetzen – du als Unternehmer hast ja das Geld sowas zu bezahlen). Der Bund also der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftrager EDÖB hat dazu ein schönes PDF geschrieben.

Ist man Blogger in Deutschland / EU?

Tut mir leid, ihr hängt da voll drin. Macht aber jetzt keine Panik – sondern wartet in Ruhe ab. Vieles dieses DSGVO ist so schwammig formuliert, da müssen zuerst Gerichte den Sachverhalt klären – und ich denke nicht, dass man für so ein Musterprozess einen kleinen Blogger benützt, sondern eine Firma ein Unternehmen.

Also keep calm!!

Ist man Blogger in der Schweiz – muss ich mich ans DSGVO halten

Nun als reiner Blogger betrifft dich das DSGVO nur am Rande – aber es kommt drauf an (darum bitte weiterlesen und entschuldigung für den Anwaltswitz).

Was muss ich als Blogger tun

Ich benütze zum Beispiel WordPress für mein Blog

Ich geh davon aus, dass du bereits ein Impressum hast und ebenfalls eine Datenschutzerklärung hast – also rede ich mal nicht davon (Ist ja seit Jahren schon Gesetz). Als nächstes solltest du so eine Cookie Warnung einbauen – diese 2 sind da zu Empfehlen – Cookie Notice oder Cookie Law

Als Tracking verwende ich auch Google Analytics

Nun zuerst einmal jeder Besucher wird von deinem Hoster bereits getrackt, also solltest du mal da nachlesen ob und wie sie DSGVO arbeiten.

Nun Google Analytics ist eine andere Sache – Auch wenn es einen Privacy Shield gibt von Google – manche Anwälte halten das nicht DSGVO konform – da werden wohl Gerichte den Sachverhalt klären müssen. Ihr braucht ja eh keine IP also könnt ihr die anonymisieren – dazu verwendet man ja die gtag.js Funktion.

Hier ein Code Beispiel.

_gaq.push (['_gat._anonymizeIp']);

Dazu gibts sicher auch ein paar WordPress Plugins sonst baut ihr das halt von Hand ein.

Pass dann die Google Analytics an – Zu finden unter Kontoeinstellung bei Google Analytics -> Google Produkte und Dienste (Achtung Google Empfiehlt die Daten freizugeben – also das Kästchen NICHT ankreuzen – dann verhindert ihr das).

Vertrag zur Auftragsdatenverarbeitung mit Google

Die Leute in Deutschland werden wohl profilaktisch einen speziellen Vertrag mit Google abschliessen müssen. Sie müssen dazu diese Vorlage ausdrucken und nach Irland einschicken.

Zu allererst verlangen die Datenschutzbehörden, dass du einen Vertrag zur Auftragsdatenverarbeitung mit Google abschließt. Eine Vorlage hierfür findest du auf dieser Seite von Google.

Datenschutzerklärung anpassen

Ihr solltet natürlich immer die Datenschutzerklärung auch auf dem aktuellen stand halten. Zum Beispiel mit so einem Zusatz:

Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Webseite durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung der Webseite werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Wir haben zudem auf dieser Webseite Google Analytics um den Code „anonymizeIP“ erweitert. Dies garantiert die Maskierung Ihrer IP-Adresse, sodass alle Daten anonym erhoben werden. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt.

Im Auftrag des Betreibers dieser Website wird Google diese Information benutzen, um Ihre Nutzung der Webseite auszuwerten, um Reports über die Webseiten-Aktivitäten zusammenzustellen und um weitere mit der Webseiten-Nutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Webseitenbetreiber zu erbringen. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall möglicherweise nicht sämtliche Funktionen dieser Webseite vollumfänglich werden nutzen können.

Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Webseite bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de. Alternativ zum Browser-Add-On, insbesondere bei Browsern auf mobilen Endgeräten, können Sie die Erfassung durch Google Analytics zudem verhindern, indem Sie auf diesen Link klicken. Es wird ein Opt-Out-Cookie gesetzt, das die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert. Der Opt-Out-Cookie gilt nur in diesem Browser und nur für unsere Website und wird auf Ihrem Gerät abgelegt. Löschen Sie die Cookies in diesem Browser, müssen Sie das Opt-Out-Cookie erneut setzen.

Wir nutzen Google Analytics weiterhin dazu, Daten aus Double-Click-Cookies und auch AdWords zu statistischen Zwecken auszuwerten. Sollten Sie dies nicht wünschen, können Sie dies über den Anzeigenvorgaben-Manager (http://www.google.com/settings/ads/onweb/?hl=de) deaktivieren.

Wir verwenden Google Analytics einschliesslich der Funktionen von Universal Analytics. Universal Analytics erlaubt es uns, die Aktivitäten auf unseren Seiten geräteübergreifend zu analysieren (z.B. bei Zugriffen mittels Laptop und später über ein Tablet). Dies wird durch die pseudonyme Zuweisung einer User-ID zu einem Nutzer ermöglicht. Eine solche Zuweisung erfolgt etwa, wenn Sie sich für ein Kundenkonto registrieren bzw. sich bei Ihrem Kundenkonto anmelden. Es werden jedoch keine personenbezogenen Daten an Google weitergeleitet. Auch wenn mit Universal Analytics zusätzliche Funktionen zu Google Analytics hinzukommen, bedeutet dies nicht, dass damit eine Einschränkung von Massnahmen zum Datenschutz wie IP-Masking oder das Browser-Add-on verbunden ist.

Nach Hause telefonieren!!

Ihr solltet auch mal euer Design überprüfen, schaut dass diese Designs möglichst wenig nach Hause telefonieren. Also wenn ihr jquery einsetzt, dann bindet es lokal ein, wenn ihr eine spezielle Schrift hat (Google Font) dann bindet es lokal ein. usw.
Das betrifft aber auch die Social Media Buttons. Zum Beispiel Facebook telefoniert damit auch nach Hause – also sollte man da lieber einfach ein Bild verlinken als diesen Button.

Ist das alles?

Also einer der nur ein Blog verwendet, evtl Cookie setzt und vielleicht noch Google Analytics einsetzt – für den ist die DSGVO Reise hier voraussichtlich zu Ende. Ihr habt da Glück. Aber jedesmal wenn ihr einen neuen, zusätzlichen Dienst einsetzt müsst ihr das Überprüfen.

Also kurz Zusammengefasst

Ihr seid nur Blogger und verkauft nichts kein eBook, keine Waren und setzt keine Werbung ein. Als ein reiner Blog, dann braucht ihr folgendes zu machen.

  • Impressum
  • Datenschutzerklärung
  • Keine IP Speichern sondern anonymisieren
  • Cookie Optin Abfrage setzen

Denkt daran, dass ihr Daten speichern dürft, wenn sie absolut Notwendig sind. Das Kriterium der Erforderlichkeit gewinnt mit der DSGVO jedoch an Bedeutung. Demnach dürfen Daten nur dann erhoben werden, wenn sie zur Erfüllung des Zwecks auch tatsächlich erforderlich sind. Es gilt also der Grundsatz der Datensparsamkeit. Also ein Onlineshop darf natürlich Cookies speichern, Werbung dürft ihr einsetzen usw. Aber eben jeder Zusätzliche Dienst den ihr einsetzt, müsst ihr nach den DSGVO Richtlinien prüfen.

Ich verwende noch andere Dienste/ Tools

Adsense / Adwords

Wer bereits einen Vertrag mit Google hat, können den Datenverarbeitungsbedingungen für Google Anzeigen im Bereich „Verwaltung“ ihrer Kontoeinstellungen zustimmen. Das Betrifft also Blogger die Adsense / Adwords einsetzen – dann kann man hier mehr nachlesen: Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte
Da müsst ihr euch also darum kümmern.

Ebenfalls empfehle ich hier, die Augen und Ohren offen zu halten. Auch wenn die meisten Google Dienste umstritten sind bei den Anwälte – müssen hier wohl wie gesagt die Gerichte den Fall zuerst klären. Also Augen offen und weiter machen.

Denkt einfach daran, dass ihr so IP und anderes nicht noch selbst abspeichern und auswerten solltet, sonst müsst ihr euch da wieder ans DSGVO halten und euch speziell informieren.

Ich verwende noch einen Newsletterdienst wie Mailchimp

Ich verwende dazu hier mal als Beispiel das Mailchimp tool. Zuerst hoffe ich doch mal dass ihr euch ans Double Opt-In Verfahren haltet!! Ebenfalls müsst ihr eure Datenschutzerklärung so beim Opt-In Feld einbauen, dass der Leser nur einen Newsletter abonnieren kann, wenn er diese Datenschutzerklärung akzeptiert.

Dann, Mailchimp unterliegt schon länger dem sogenannten EU/Swiss Privacy Shield. Ihr müsst also mit Mailchimp ein sogenanntes data processing agreement (Datenverarbeitungs Vertrag) abschliessen und das geht relativ einfach. Hier mit diesem Link Data Processing Addendum könnt ihr das Formular aufrufen und ausfüllen – das Resultat bekommt ihr sehr schnell per eMail zugeschickt.

Newsletter

Die Meisten von uns schreiben ja mehr oder weniger regelmässig einen Newsletter. Hier müsst ihr halt immer schön darauf achten, dass es mit Double Opt-In gesichert ist. Das heisst, der Leser muss doppelt bestätigten, dass er den Newsletter wirklich erhalten möchte – ihr könnt dann beweisen, dass er sich selbst eingetragen hat und er nicht von jemand anderen eingetragen worden ist. Aber auch diese Regel ist eigentlich bereits im Gesetz drin.

Schaut also schön, dass ihr von allen Abonnenten so eine Beweiskette vorlegen könnt.

Freebies

Nun hier gibts wohl ein der grössten Änderungen und zwar darf man nicht mehr Gratis-Ware gegen eMail Adressen sammeln (Obs am Schluss wirklich so krass ist – müssen Gerichte entscheiden). Also wenn ihr Freebies anbietet, dann verknüpft es nicht noch mit einer eMail Adresse – das könnte Ärger geben.

Zum Schluss

Ich höre immer wieder von Blogger, dass sie sich das Bloggen jetzt überlegen würden und lieber ihre Online Projekte einstellen werden als Ärger zu riskieren. Ich finde das eine zu extreme Antwort auf die GSVO Änderungen.

Denn nehmen wir mal an in Deutschland hats 80 Millionen Einwohner – dazu über 500’000’000 Webseiten und knapp 50’000 Anwälte / Abmahnorganisationen. Jeder dieser Personen müssten also 10’000 Webseiten abmahnen und dann werden natürlich gewisse Online Projekte doppelt und dreifach abgemahnt. Also bis da jeder von euch mal eine Abmahnung erhalten hat – dauert es JAHRE. Und da jeder kleine Blogger eh nicht so viel Geld hat – kann man da auch nicht soviel verdienen – also gehen die Abmahnleute lieber auf Firmen los und die können sich teure Anwälte leisten.

Also wer wegem DSGVO jetzt schon in Panik verfällt sollte aufhören zu saufen, kiffen oder sonst welche bewusstseinsbeeinträchtigenden Mittel zu konsumieren.





Über

Eric-Oliver Mächler

Seit 2005 bin ich ein aktiver Blogger. Ich kenne die Kniffe und die Tricks um einen Blog erfolgreich zu machen. Hier gebe ich diese kleinen Tricks gerne weiter und freue mich, wenn ich euch helfen kann. Hier erfährt man mehr über mich.

8 Kommentare

  • Spannendes und aktuelles Thema! Versuche gerade meinen ersten Blog zu starten und hab mich gegen Google Analytics entschieden als Statistiktool.
    Weisst du was ich bei Matomo (ehemals Piwik) alles beachten muss? Die IP der Besucher wird bereits anonymisiert.

    Gruss Michi

  • Eigentlich ist es ja so !
    1. als Blogger verkauft man auch Artikel
    2. Wenn man die DSVGO nicht umsetzen will sollte man alle Besucher aus EU ausschliessen.
    (da man das ja aber nicht will sollte man das DSVGO umsetzen! )
    PUNKT!!!
    —-stooni

    • du verkaufst artikel hinter einer paywall? also meine blogs sind alle gratis und nein, ein artikel anzeigen ist nichts verkaufen – es gibt hier kein kaufbutton, leadbutton oder so – darum ist das alles ok. und wenn man nichts verkauft dann dürfen auch eu leser kommen.

  • Vielen Dank für den Artikel. Wir haben auch jetzt viel recherchiert und sind zum gleichen Schluss wie du gekommen und haben noch ein paar kleine Anpassungen vorgenommen.

    Aber als Blogger ohne Shop muss man wohl keine Panik haben.
    Liebe Grüsse

    • hi, ja genau, nein ich denke auch nicht dass panik eine gute option ist – vorallem nicht als „kleiner“ blogger aus der schweiz. schau einfach dass du nichts verkaufst und schon ists gut. evtl habt ihr ja affiliate links drin oder so, dann könnte es ärger geben – aber auch dann solltet ihr einfach hinschreiben das ihr affiliate habt (und sie nicht verstecken) dann ists auch gut. links sind ja erlaubt 😛

  • Hab gerade deine Datenschutzerklärung gelesen und mich guet amüsiert. Oschtschwiizer Humor. Aber leider war. Hab mich dann bisschen durchgeklickt. Und bin hier gelandet ;). Denke mal abwarten und Tee trinken. Ich selber hab nix auf meiner Seite, da sie mir nur als „Archiv“ dient, das ich ab und an mal verlinke, wenn jemand die Besprechung sehen will. …gut bei mir ist ja auch nix zu holen ;). Alles was ging ist aktuell Rest werden wir dann wohl sehen.

    • freut mich das du dich amüsiert hast 🙂 das thema ist trocken genug, da braucht man hin und wieder was zu lachen.
      nun auch wenn wir hier in CH relativ entspannt aufs DSGVO schauen können, gibts halt doch ein paar dinge die man beachten muss, sonst kann nämlich dich jemand in deutschland anzeigen und du wirst früher oder später bezahlen müssen – und wenn du dich weigerst erwarten dich handschellen bei deinem nächsten konstanzer besuch – das wäre ja doof 🙂

      es gibt halt ein paar dinge die man anschauen muss – wir müssen zwar nicht so pressieren wie die in D – wir kennen ja abmahnungen nicht. trotzdem schritt für schritt sollte man da schon sich damit beschäftigen – denn ich vermute im herbst 2018 werden unsere 7 zwergli in bern beschliessen, dass wir die dsgvo übernehmen werden

Hinterlass einen Kommentar