Herzlich willkommen zur Umstellung gemäß DSGVO!
Grundsätzliches vorab: Dies ist keine Rechtsberatung, denn ich bin keine Juristin und keine Datenschutzbeauftragte! Es sind meine gesammelten Erkenntnisse bezüglich der DSGVO. Alles ist ohne Garantie und Gewähr, aber nach bestem Wissen und Gewissen recherchiert.
Die DSGVO gilt ab 25. Mai 2018 für Unternehmen in der EU und daher auch für gewerbliche Webseiten bzw. Blogs. Rückwirkend muss nichts verändert werden. Man muss nicht alle Blogposts aus der Vergangenheit bearbeiten. Welche Blogs gewerblich sind, habe ich Euch hier bereits erklärt
Für alle anderen Blogs gilt das derzeitige Datenschutzgesetz und Telemediengesetz weiterhin. Wenn Ihr Euch schon immer danach gerichtet habt, müsst Ihr Euch keine Sorgen machen.
Die weiteren Erläuterungen sind nur für gewerbliche Blogs!
Für gewerbliche Blogs ist der Artikel 32 der DSGVO wichtig:
Der nun explizit in der DSGVO beschriebene Grundsatz der Datensicherheit umfasst, dass Datenverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und Art, Umfang und der weiteren Umstände und Risikoanalyse geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Wir müssen also als Datenverarbeiter unter Berücksichtigung der Technik, die wir hier bei Blogger vorfinden und unter Berücksichtigung der Umstellungskosten sowie unter Berücksichtigung der weiteren Umstände und Risikoanalyse, unsere Blogs mit geeigneten technischen und organisatorischen Maßnahmen umstellen, um ein angemessenes Schutzniveau zu gewährleisten.
Welch ein Risiko stellt mein Blog wohl mit den 272 Followern und ca. 61000 Seitenaufrufen im Jahr dar? Ich denke, ein recht kleines, weil ich zudem nur wenig personenbezogene Daten sammle. Bei den meisten von Euch wird es ähnlich sein. Je größer die Reichweite des Blogs und je mehr Sachen auf dem Blog installiert sind, desto mehr Daten werden gesammelt und desto umfangreicher sind die Maßnahmen, die getroffen werden müssen.
Ich muss also keineswegs mit dem Blog umziehen, weil ich ihn hier nicht gemäß DSGVO umrüsten kann und das angeblich nur mit einem teuren Businesstarif auf einer anderen Plattform geht. Ich muss auch keinen Rechtsberater oder Computerexperten engagieren oder ein "rundumsorglos Paket" von einem Anwalt kaufen.
Was muss und kann ich hier also machen, um einen angemessenen Datenschutz zu gewährleisten?
1. den Blog auf https. umstellen bzw. SSL verschlüsseln und alles löschen, was kein https hat, um gemischte unsichere Inhalte zu vermeiden. Wie das geht, habe ich hier gezeigt.
2. alle Share- und Like Buttons/ Plugins für Facebook und co. löschen, denn diese sind mit bisheriger Funktion nicht mehr erlaubt. Außerdem muss jedes Plugin in die Datenschutzerklärung und ins Verfahrensverzeichnis.
Ein einfacher Link zur entsprechenden Seite, auch mit Bild, ist erlaubt.
3. eine Seite für das Impressum und eine zweite für die Datenschutzerklärung erstellen. Darauf achten, dass diese nicht vom Cookiehinweis verdeckt werden und immer mit nur 2 Klicks zu erreichen sind.
3. dann das Impressum erstellen und die Datenschutzerklärung generieren und individuell anpassen.
4. zur Kommentarfunktion einen Text mit Links zur eigenen Datenschutzerklärung und zur Google Datenschutzerklärung in das Layout unter Einstellungen/Kommentare/Posts/geteilte Inhalte einfügen. Den Text könnt Ihr selbst formulieren oder Ihr nehmt diesen:
"Wenn du auf meinem Blog kommentierst, werden die von dir eingegebenen
Formulardaten (und unter Umständen auch weitere personenbezogene Daten,
wie z. B. deine IP-Adresse) an Google-Server übermittelt. Mehr Infos
dazu findest du in meiner Datenschutzerklärung (Link einfügen) und in
der Datenschutzerklärung von Google."
(Höchstwahrscheinlich ist keine Checkbox erforderlich. Sie könnte hier bei Blogger aus technischen Gründen auch nicht eingerichtet werden).
Der Link wird so eingfügt:
<ahref="Link/Datenschutzerkl."rel="nofollow">Datenschutzerklärung</a>
oder auch so:
<a href="Link/Datenschutzerkl."rel="nofollow">Datenschutzerklärung</a>
5. Anonyme Kommentare zulassen und die Sicherheitsabfrage (CAPTCHA) deaktivieren, weil in beiden Fällen Daten von Google abgefragt werden. Wegen der evt. Spams usw. solltet Ihr dafür die Kommentarmoderation auf "immer" einstellen.
6. Google translate und per E-mail folgen löschen, weil das Zusenden von E-mails und Newsletter ohne Backlink nicht mehr erlaubt ist und Translate als Tracker Daten sammelt.
7. Navbar im Layout ausschalten, damit der Tracker Google Adsense verschwindet.
8. Verfahrensverzeichnis erstellen. Das sollte in etwa so aussehen:
Jetzt seht Ihr, dass es gut ist, wenn man wenig auf dem Blog installiert hat. Dann ist die Liste relativ kurz. Wer Google Analytics nutzt, muss das hier ebenfalls aufführen und die IP Adresse anonymisieren. Anleitungen dazu gibt es im Netz. Denn ich benutze kein Analytics. Außerdem braucht man einen Auftragsbearbeitungsvertrag mit Google Analytics. Diesen Vertrag brauchen wir auch von Google für Blogger, der noch nicht vorliegt. Das muss aber nicht unsere Sorge sein, weil diese Verträge die Auftragsbearbeiter zur Verfügung stellen müssen. Möglich, dass die meisten Verträge erst nach dem 25. Mai kommen, weil diese dann online abgeschlossen und unterzeichnet werden dürfen. Inlinkz hat mitgeteilt, dass sie die Seite für die DSGVO umgerüstet haben. Es gibt eine neue Datenschutzerklärung und wenn ich die E-mail richig übersetzt habe, arbeitet man an einem Online-Vertrag. Also abwarten und Tee trinken!
Die Leseliste oder Blogroll ist kein Problem, da es nur Links zu anderen Blogs sind. Die Gravatare kann man in der Sidebar/Blogroll löschen.
Die Follower-Gravatare per GFC sammeln keine Daten. Man kommt nur auf das Profil und da kann man selbst einstellen, was man veröffentlichen möchte. Die Gravatare bei den Kommentaren sind als Datensammler in der Datenschutzerklärung.
Ich habe außerdem meine Linkparty dort aufgeführt und den G+ Tracker in die Datenschutzerklärung aufgenommen, weil sich dieser nicht vom Blog entfernen lässt (hier hat Finn eine Lösung gefunden- siehe Link unten. Daher inzwischen aus der Datenschutzerklärung entfernt.) Ihr solltet auf jeden Fall nicht einfach einen Text von einem Blog übernehmen, denn er sollte Eurem Blog angepasst sein und nur die Sachen enthalten, die auch tatsächlich auf dem Blog sind.
Es gibt zwar datenkonforme Newsletter, Kontaktformulare und Plugins, (vorwiegend für Wordpress). Ich würde sie nicht einrichten, weil das eben doppelte Arbeit macht und auch ins Verfahrensverzeichnis muss. Zudem gibt es für Newsletter Widerspruchs und Löschfristen. Das ist mir zu kompliziert und da ich keinen Shop habe, brauche ich das für meine kleine Hobbywebseite nicht. Deshalb habe ich mich damit auch nicht befasst und auch nicht mit Werbeanzeigen von Google und Affiliate-Links.
Falls unsere Bundesregierung doch noch aufwacht (die Kanzlerin persönlich kümmert sich jetzt), kann man ja vielleicht wieder alles installieren oder es heißt: Hey Leute, Ihr habt Euch umsonst aufgregt!
Nun hoffe ich, dass ich Euch weiter helfen konnte. Bitte habt keine Angst und löscht Euren Blog nicht (notfalls nur auf privat schalten). Lest dazu diesen Beitrag.
Ich denke, die durchgeführten Maßnahmen sind für meinen Blog, unter Berücksichtigung des Risikos, angemessen und ausreichend. Mehr konnte ich bei dem Stand der Technik hier bei Blogger nicht machen. Wenn ich keine andere Kommentarfunktion zur Verfügung habe, kann ich diese nicht einfügen und wenn ich nicht weiß, ob und wo IP Adressen vom Kommentar gespeichert werden, kann ich diese nicht verschlüsseln.
Da eRecht24 den Disclaimer noch anbietet, gehe ich davon aus, dass er noch ins Impressum muss. Dazu habe ich hier noch weiteres erklärt.
Hier sind ein paar nützliche Links und meine Bezugsquellen:
Google + Tracker entfernen:
Vielen herzlichen Dank an Finn von Blogmojo und Regina Stoiber (Datenschutzbeauftragte) sowie an Manuela und Claudia von der Firma Kneipp, im übrigen die einzige Firma, die sich Sorgen um die Blogautoren gemacht hat!
Tschüss bis bald.
Elke
