DSGVO: Wie du die neuen Datenschutzregeln in deinem Blog umsetzt
Photo by Fernando Arcos from Pexels
Warum einfach, wenn’s auch kompliziert geht?
Bislang war kaum etwas einfacher, als einen eigenen Blog zu erstellen. Dank der neuen Datenschutzverordnung gestaltet sich das Leben als Seitenbetreiber nun etwas komplizierter. Anonym bloggen wird jetzt geradezu unmöglich…
Die DSGVO bezweckt, dass der Internetnutzer eine gewisse Transparenz darüber erfährt, an welcher Stelle seine Daten gespeichert werden. Dies geschieht zum Beispiel, um nachverfolgen zu können, wann und wie oft er eine Webseite besucht. Auch wenn er auf einem Blog kommentiert oder in einem Online-Shop eine Bewertung schreibt, wird u.U. seine IP-Adresse gespeichert.
Darüber hinaus soll dem User die Möglichkeit gegeben werden, der Datenspeicherung generell zu widersprechen. Dennoch soll er deinen Blog lesen bzw. deinen Online-Service in Anspruch nehmen können.
Anfangs habe ich noch geglaubt, es reiche völlig aus, die Datenschutzerklärung einfach um ein paar Paragraphen zu ergänzen. Kostenlose Datenschutzgeneratoren machen das im Nullkommanichts möglich. Nun jedoch stelle ich mit Schrecken fest, dass das Thema DSGVO weitaus komplexer ist als ich dachte.
Darfst du mit deinem Blog Daten speichern – und wenn ja, welche?
Doch die Komplexität der neuen Verordnung ist nicht einmal das größte Problem. Hinzu kommt noch eine gewisse Unsicherheit hinsichtlich ihrer Tragweite: Bezieht sie sich nur auf den eigenen Blog oder auch auf die darüber hinaus betriebene Facebook-Seite oder das Twitter-Profil? Darf ich überhaupt noch Daten erfassen? Wenn ja, in welchem Umfang?
Hier heißt es seitens von Online-Marketing-Experten, es sei durchaus legetim, Nutzerdaten zu erfassen (bspw. in Folge der Webanalyse) – solange der Seitenbetreiber diese nicht weiterverarbeitet.
Eine Weiterverarbeitung findet zum Beispiel dann statt, wenn die Daten dazu dienen, Nutzerprofile zu erstellen und in Folge dessen personalisierte Werbung eingeblendet wird. Darauf beruht im Übrigen das Geschäftsmodell von Google…
Wenn du also Google Analytics oder ein anderes Tool nutzt, das die Daten deiner LeserInnen speichert, dann ist das zwar erst einmal nicht illegitim. Du solltest dir aber bewusst sein, dass du neuerdings dazu verpflichtet bist, derlei Daten auf Anfrage zu nennen und/oder zu löschen. Wenn sie allerdings auf irgendwelchen unbekannten Servern liegen, gestaltet sich das schwierig. Besser also, du speicherst überhaupt keine Daten mehr. Aber funktioniert dein Blog dann überhaupt noch?
Cookie Notice: Der Nutzer muss zustimmen
Schaut man sich im World Wide Web einmal um, scheint es den meisten Online-Plattformen zu genügen, eine sogenannte Cookie-Notice zu erstellen. Hier wird der User darüber informiert, dass auf seinem Computer Cookies abgelegt werden, um ihn zu tracken. Ist er damit einverstanden, klickt er auf „OK“ und die entsprechenden Cookies werden geladen. Im Umkehrschluss solltest du deinen Blog technisch so aufrüsten, so dass Cookies nicht gesetzt werden, falls der Nutzer dem nicht zustimmt!
Wer nicht über entsprechende Programmierkenntnisse verfügt, bindet die Cookie-Notice einfach mit Hilfe eines Plugins ein. Für WordPress gibt es sie bereits in mannigfaltiger Ausführung, wie du hier>> nachlesen kannst.
So kann der Cookie-Hinweis aussehen, wenn man ein entsprechendes Plugin verwendet.
Dass der Nutzer per Mausklick Cookies einfach deaktivieren kann, habe ich bislang nur auf einer einzigen Webseite gesehen, und zwar auf der eines Anbieters für ebenjene Cookie-Hinweise (siehe Bild oben).
Darauf wird es jedoch frühestens nächstes Jahr hinauslaufen. Dann nämlich soll die ePrivacy-Verordnung in Kraft treten. Sie wird noch einmal einen Zacken schärfer ausfallen als die DSGVO, denn die ePrivacy-Verordnung soll es dem Internetnutzer ermöglichen, über jedes einzelne Cookie informiert zu werden. Zudem muss er jedem Cookie ausdrücklich zustimmen.
Welche Cookies sammelt dein Blog eigentlich? Geht es vielleicht auch ohne?
Hier stellt sich dem Blogger die Frage, ob er nicht einfach ohne den Einsatz von Cookies auskommt, um rechtlichen Konsequenzen aus dem Weg zu gehen. Insofern sollte er erst einmal analysieren, welche Cookies sein Blog eigentlich setzt…
Nutzt du ein CMS wie WordPress, dann ist es sehr wahrscheinlich, dass du Cookies auf den Rechnern deiner LeserInnen ablegst, damit das System sie bei einem weiteren Besuch wiedererkennt.
Cookies werden zum Beispiel aktiv, wenn jemand die Kommentarfunktion deines Blogs nutzt – und darüber hinaus ein Gravatar-Bild einfügt. Auch Kontaktformulare können Cookies setzen und IP-Adressen speichern und viele deiner Plugins ebenfalls. Für Seitenbetreiber, die mit ihren Blogs Geld verdienen, gilt dasselbe: Ob Google-AdSense oder Affiliate Marketing, nichts läuft ohne Cookie-Einsatz.
Das betrifft auch das Einbinden von „Fremdmaterial“, bspw. Youtube-Videos oder Karten von Google Maps. Sie alle tracken User und sind Datenschützern somit ein Dorn im Auge.
Ob dein Blog Cookies setzt – und wie viele -, findest du per Rechtsklick mit deiner Maus heraus (wenn du Firefox als Browser nutzt). Dann auf „Seiteninformationen anzeigen“ > „Sicherheit“. Dort kannst du die Cookies ggf. auch löschen.
Auch externe Seiten überprüfen deinen Blog auf den Einsatz von Cookies. Besonders übersichtlich finde ich den cookiechecker, weil er legale von rechtlich bedenklichen Cookies unterscheidet.
Cookies sind folglich eine Begleiterscheinung eines jeden WordPress-Blogs. Problem erkannt, doch längst nicht gebannt. Wie wirst du die Dinger los bzw. gestaltest sie DSGVO-konform???
Abhilfe schaffst du mittels:
A) Verzicht auf Cookies
Dass dein Blog auch ohne Cookies einwandfrei funktioniert, ist Webentwicklern zu verdanken, welche die Datenschutzverordnung frühzeitig ernstgenommen und Lösungen geschaffen haben. Diese gibt es in Form von:
Plugins, die ohne Cookies funktionieren (DSGVO-konforme Plugins)
Nutzerdaten sollen nach Möglichkeit überhaupt nicht mehr gesammelt werden. Insofern ist es ratsam, auf ALLE Plugins zu verzichten, die Cookies setzen oder die IP-Adressen deiner LeserInnen speichern. Stattdessen solltest du nun alternative Plugins verwenden, die ohne Datenspeicherung auskommen.
Im Internet findest du einige Listen, die diese Plugins nennen und beschreiben. Eine sehr umfangreiche findest du auf WP Ninjas .
Bezeichnenderweise erhält das Plugin „Disable Comments“ hier die Bestnote. Tatsächlich habe auch ich die Kommentarfunktion auf meinen Blogs ausgeschaltet, weil ich auf ein Kommentar-Plugin warte, das keinerlei Daten speichert. Der gleiche Gedanke beschlich mich beim Analyse-Tool „Google Analytics“, das ich bislang gern genutzt habe. Momentan komme ich lieber ohne aus. (Alternativ verwendest du abgespeckte Analyse-Plugins wie Statify, die gänzlich ohne Datenspeicherung auskommen.)
Alternativlos?: Google AdSense
Obwohl – oder gerade weil – Google AdSense nicht zu den DSGVO-konformen Online-Tools zählt, möchte ich an dieser Stelle näher darauf eingehen. Schließlich generiere ich Einnahmen über die bewährte Anzeigen-Maschine. Doch:
Die Nutzung von Google AdSense ist nicht ganz unproblematisch, weil Google Cookies und andere Tracking-Methoden benutzt, um das Nutzerverhalten über die Website hinaus zu verfolgen und dadurch Nutzerprofile zu erstellen. Diese Profile werden dann für das Remarketing oder zur Anzeige personalisierter Werbung verwendet. (Quelle: Blogmojo)
Ich selbst habe daraufhin lediglich meinen Datenschutzhinweis angepasst (und weise meine LeserInnen nun auf den Einsatz und die Konsequenzen von AdSense hin). Außerdem verzichte ich momentan auf personalisierte Anzeigen. Diese Einstellung lässt sich direkt bei Google AdSense vornehmen: Dazu loggst du dich in dein AdSense-Konto ein und gehst auf Anzeigen zulassen und blockieren > Alle eigenen Websites > EU Nutzereinwilligung
Muss Online-Werbung neu erfunden werden?
Ich bin mir allerdings ziemlich sicher, dass das (auf lange Sicht) nicht ausreicht. Wahrscheinlich wird es darauf hinauslaufen, dass der Nutzer dem Einsatz von Google AdSense zustimmen muss. Da sich niemand gerne Werbung anschaut, werden sich wohl die meisten dagegen entscheiden. Google geht ebenfalls davon aus und hat deshalb an einer Art Anzeigen-Ersatz gebastelt, Funding Choices. Mit Hilfe dieses Tools wird der Nutzer vor die Wahl gestellt: Entweder er lässt Werbeanzeigen zu oder er kauft sich frei!
Zur Funktionsweise schreibt Google:
Sie laden einen Betrag in Höhe von 5 € auf Ihren Contributor-Pass und fügen eine Website hinzu, auf der Sie den Pass verwenden können. Jedes Mal, wenn Sie dann eine Seite dieser Website aufrufen und diese Seite ohne Anzeigen angezeigt wird, verringert sich der auf Ihrem Contributor-Pass verfügbare Betrag um einen Preis pro aufgerufener Seite. Diese Beträge gehen – nach Abzug eines kleinen Teilbetrags, den Google jeweils für die Bereitstellung des Contibutor-Services einbehält – an den jeweiligen Websiteinhaber. (Quelle: https://landing.google.com/fundingchoices/)
Funding Choices wurde übrigens nicht im Zuge der DSGVO entwickelt, sondern als Zahlungsmittel für die Nutzer von Adblockern. Ich bezweifle allerdings stark, dass es sich durchsetzt, denn kaum jemand ist bereit, für Online-Inhalte zu zahlen. Vermutlich werden die Leute auf der Suche nach Infos einfach andere Webseiten ansteuern, die keinerlei Gebühren erheben.
Hilfreiche Infos zu allen möglichen Google-Diensten und ihrer DSGVO-Konformität findest du übrigens auf BLOGMOJO>>
B) Verwendung von DSGVO-Plugins, die deinen Blog (halbwegs) rechtssicher machen
Mittlerweile wurden darüber hinaus Plugins programmiert, die deinen WordPress-Blog auf seine verwendeten Cookies hin überprüfen. Dass sie deinen Blog tatsächlich rechtssicher machen, wage ich zu bezweifeln. Immerhin unterstützen sie dich bei diesem Vorhaben.
Einen Vergleich mehrerer DSGVO-Plugins findest du hier>> Darunter sind allerdings nicht nur kostenlose Tools!
Fazit: Mein kleiner Maßnahmen-Katalog
Ich habe mich lange dagegen gesträubt, mich mit dem Thema Datenschutz zu befassen. Es kostet schließlich Zeit, sich mit dem sperrigen Online-Recht auseinanderzusetzen. -Zeit, die sicherlich jeder Blogger lieber ins Schreiben neuer Artikel oder ins Online-Marketing investiert.
Schlussendlich muss ich jedoch zugeben, dass ich als Bloggerin und Seitenbetreiberin nicht die Augen verschließen kann vor einem Thema, das mich sehr wohl etwas angeht. Nun da ich weiß, dass es viel Bewegung auf dem Gebiet des Datenschutzes gibt und in Folge dessen diverse Alternativen und Verbesserungen von Plugins entstanden sind, gehe ich zudem mit einem besseren Gefühl an die Sache heran.
Rechtlich bin ich ohnehin gezwungen, meinen Blog anzupassen. Gut, dass ich nun auch weiß,
Welche Möglichkeiten ich habe:
- Zunächst habe ich mich also für eine Cookie Notice mit Opt-In entschieden, d.h. Cookies werden nur geladen, wenn der Nutzer seine Zustimmung (OK) gibt.
- Selbstverständlich habe ich per Datenschutzgenerator meine Datenschutzerklärung überarbeitet
- Google Analytics habe ich erst einmal deaktiviert. Letztlich ist es ja doch nicht zwingend erforderlich.
- Google AdSense habe ich so eingestellt, dass keine personalisierte Werbung mehr angezeigt wird.
- Die Kommentarfunktion auf meinem Blog ist derzeit ausgeschaltet. Weiterhin habe ich alle bedenklichen Plugins gelöscht (z.B. Google Fonts, denn auf Grund der Verwendung der Schriftarten mittels Plugin wurden bereits die ersten Abmahnungen verschickt!)
- Nun überlege ich noch, meine Facebook-Seite zu löschen oder wenigstens zu deaktivieren, denn auch Facebook sammelt Daten – und als FB-Seitenbetreiber bin ich dafür mitverantwortlich, wie ein kürzlich gefälltes Urteil des EuGH zu Tage förderte. Allerdings müsste ich dann konsequenterweise auch meinen Twitter-Account stilllegen, zudem womöglich auch mein Pinterest-Profil – und das würde mich echte Einbußen bei den Seitenzugriffen kosten… Deshalb warte ich noch ein Weilchen ab, wie sich die Sache entwickelt.
Ich hoffe, dass ich mit diesen Maßnahmen erst einmal auf der sicheren Seite stehe. Zumal sie echt aufwendig sind… Aber Abmahnungen sind teuer, daher will ich sie nach Möglichkeit vermeiden. Ob es klappt, bleibt abzuwarten.
LG Anne!!!
