DSGVO: 10 Tipps & Tricks für deinen Blog (WordPress)

DSGVO: 10 Tipps & Tricks für deinen Blog (WordPress)

Am 25. Mai 2018 trat die Datenschutzgrundverordnung in Kraft, die den Datenschutz in der EU vereinheitlichen und auf eine neue Stufe heben soll. Was natürlich positiv für alle ist und eine Vertrauensbasis im Umgang mit Daten schaffen soll, hat auf der anderen Seite den Nebeneffekt, dass es empfindliche Strafen mit sich ziehen kann, wenn man dagegen verstößt.

Wir vom FashionCamp Vienna Team haben selbst unsere Blogs in den letzten Wochen DSGVO-fit machen müssen und ein paar Tipps & Tricks für euch dabei zusammen gesammelt.

1. Social Buttons

Dein Blog und darin eingebundene Social Buttons leiten automatisch User-Daten (Cookies) weiter, wenn jemand auf deinen Blog klickt. Damit dies unterbunden wird, du aber trotzdem nicht auf die Sharing-Funktion für deine Blog-Beiträge verzichtest, empfiehlt sich das WordPress-Plugin Shariff.

Widgets, wie es beispielsweise Facebook oder Instagram anbietet, um eigene Facebook Seiten oder Instagram Channels anzuzeigen, sollte man besser verzichten, da die Daten an Server aus dem EU-Ausland weitergeleitet werden.

2. YouTube

Auch YouTube sammelt natürlich fleißig Daten nicht nur wenn man auf die Plattform selbst klickt, sondern den Content in Form von Frames in die eigene Website einbindet. Damit dies nicht passiert, gibt es einen einfachen Trick, den YouTube anbietet: Holt man sich den Embed Code muss man entweder die 3. Check-Box anklicken („Enable privacy-enhanced mode“) oder man tippt händisch in den Code statt „youtube.com“ -> „youtube-nocookie.com“ ein. Das muss man übrigens bei der Datenschutzverordnung nicht nur bei neuen Videos machen, sondern bei ALLEN, die jemals auf deinem Blog eingefügt wurden.

3. Datenschutzerklärung

Herzstück der DSGVO ist eine individuelle Datenschutzerklärung auf jeder Website, die wie dein Impressum auf einer Seite angelegt werden muss. Sie muss für UserInnen in verständlichen Worten erklären welche Daten von ihnen erhoben und verarbeitet werden, in welcher Form Daten an Dritte weitergegeben werden (z.B. Google Analytics) und wie man ihr widersprechen kann. Das betrifft vor allem das „Recht auf Vergessen“ im Netz, das jeder User/jede Userin hat. Dazu muss  eine Opt-Out Funktion angeboten werden (dass die Daten nicht mehr gesammelt werden dürfen) und ein Kontaktperson für Fragen, die in Kürze auf Anfragen reagieren muss.

Rechtsanwalt Dr. Schwenke bietet hier für den deutschen und österreichischen Raum eine Datenschutzerklärung an, die individuell zusammenstellbar ist. Der Generator bietet die Zusammenstellung einer Datenschutzerklärung für die unterschiedlichsten Social Media Dienste, Newsletter-Anbieter oder Statistik-Tools.

Die Zusammenstellung der Datenschutzerklärung ist kostenlos, die Einbindung auf der Website nicht. Doch den Betrag sollte man berappen. Wenn man die Datenschutzerklärung von einer Rechtskanzlei schreiben lässt, wird es kaum günstiger.

4. WordPress Plugins

Wie bereits in Punkt 1 bei den Social Buttons erwähnt, werden Angebote von Dritten mit deren Servern verknüpft. Das ist auch bei Plugins der Fall, die für WordPress verwendet werden. Hier gibt es v.a. im Security Bereich leider einige sehr beliebte Plugins, die gute Dienste leisten, weil sie unsere Blogs vor Hackern schützen. Allerdings sind sie bei der DSGVO nicht konform, da sie ohne Einwilligung die IP Adresse speichern – wenn ein Angriff von einer bestimmten IP Adresse erfolgt, wird diese gesperrt. Darunter fallen derzeit Plugins, wie „Jet Pack – Brute Protect“ oder „Wordfence“.

Achtung! Seriöse Plugin-Anbieter sind natürlich daran interessiert auch DSGVO-konform zu sein. Es kann sein, dass die Plugins bald den Richtlinien entsprechen.

Wenn man neue Plugins installiert, ist natürlich in Zukunft auch darauf zu achten, ob sie der DSGVO entsprechen!

5. WordPress Plugin: Zustimmung einholen

Abseits davon, dass eingebundene Codes und Inhalte, Cookies setzen können (Widgets, Facebook Pixel etc.) und man darauf in der Datenschutzerklärung hinweisen muss, ist es besonders ratsam dies zusätzlich noch von den Websitebesuchenden einzuholen und sie mit Buttons darauf hinzuweisen. Hier gibt es bereits für WordPress Blogs kostengünstige Plugins, wie WP DSGVO Tools. Diese lassen individuelle Einstellungen für den Blog zu. Wie oft soll der User um seine Zustimmung gefragt werden? Auf welche Seite wird er verwiesen, wenn er Cookies nicht akzeptiert? (Achtung, nach der DSGVO müssen auch Personen deinen Blog besuchen dürfen, wenn sie Cookies nicht zustimmen!).

6. Newsletter

Als die DSGVO am 25.5.2018 in Kraft getreten ist, hat wohl viele Newsletter-Betreiber die Panik ergriffen. Für viele war wohl unklar, wie man nach der DSGVO Emailadressen „sammeln“ darf? Wie bereits in der Vergangenheit muss sich der Newsletter-Abonnent selber eintragen bzw. muss seinen ausdrücklichen Konsens dazu gegeben haben in den Newsletter-Verteiler aufgenommen zu werden. Hat er das nicht, ist man bereits nach dem „alten“ Datenschutzgesetzt (Spam) nicht konform gewesen. Da aber die wenigsten „einfach so“ Personen in diese Liste bzw. das System eintragen, ist der Newsletter wohl das unkritischste an der ganzen Novellierung des Datenschutzes gewesen.

Jedoch: Nach der neuen Datenschutzverordnung ist es auch wichtig dem User offen zu legen WO die Daten gespeichert werden und ob sie dort sicher sind. Große Newsletter-Unternehmen, wie MailChimp haben hierzu ein eigenes Data Processing Agreement angeboten, das man mit ihnen abschließen kann. Sie erklären sich darin die Standards der EU einzuhalten.

7. Webhost

Zwischen deinem Webhost und dem Website-Besucher werden jedesmal Datensätze, wie die IP Adresse ausgetauscht, wenn er auf deinen Blog klickt. Um dem Datenschutz hier gerecht zu werden, empfiehlt es sich a) eine SSL Verbindung (https) anzubieten („Privacy by default“ – die höchste Stufe des Datenschutzes muss standardmäßig eingestellt sein, b) mit dem Webhost ein Data Processing Agreement (wie beim Newsletter, Punkt 6) abzuschließen.

Die meisten Webhosts bieten dies bereits automatisch an.

8. Verarbeitungsverzeichnis

Die unschöne Seite der DSGVO ist das bürokratische Verarbeitungsverzeichnis. Dieses muss geführt werden, wenn man einen Newsletter hat (noch relativ einfach), wenn Google Analytics oder Kommentarfunktionen angeboten werden. Dazu genügt ein einfaches Word Doc.

9. Google Analytics

Gibt es eine Möglichkeit Google Analytics so einzubinden, dass IP Adressen anonymisiert werden? Die Antwort liefert Google gleich selber.

„Seit dem 25. Mai 2010 stellt Analytics die Funktion _anonymizelp in der JavaScript-Bibliothek ga.js (und seit kürzerem ga(’set‘, ‚anonymizeIp‘, true) in der Bibliothek analytics.js) zur Verfügung, um Websiteinhabern die Möglichkeit zu bieten, alle IP-Adressen ihrer Nutzer innerhalb des Produkts zu anonymisieren.“

Weitere Infos gibt es bei Google.

Das ist aber noch längst nicht alles. Denn was die DSGVO fordert, ist dass man dem Nutzer ermöglichen muss Tracking zu unterbinden und trotzdem die Website weiterhin sichtbar sein soll. (Auch große Websites verstoßen derzeit gegen diesen Grundsatz.)

10. Akismet – Spam Kommentare

Spam Kommentare nerven jeden und damit sie auch geblockt werden, gibt es seit Jahren das millionenfach installierte Tool Akismet, das sich den nervigen Bots widmet. Dabei sammelt Akismet allerdings auch IP Adressen, was im Falle des Datenschutzes als sehr kritisch angesehen werden kann. Damit dies nicht der Fall ist, muss man bei Akismet eine eigene Privacy Einstellung berücksichtigen. Dieses Plugin gibt es hier zum Download.

 

 


Disclaimer: Dieser Beitrag ersetzt keine juristische Beratung. Unsere Tipps sind nach bestem Wissen und Gewissen hier zusammengefasst. Wir übernehmen keine Haftung für die Anwendung.

 


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Nur Online Influencer können an der FashionCamp Vienna Konferenz teilnehmen! Bitte Gib deinen Online Auftritt bei der Buchung in das Feld "Kaufnotiz" ein! Ausblenden