Die DSGVO und was sich hier im Blog ändert

Ein Schreckgespenst mit kryptischem Namen geistert derzeit durch die Blogosphäre und sorgt für Angst und Verwirrung: GDPR / DSGVO.

Was in aller Welt ist GDPR / DSGVO?!

Kurz gesagt: eine Datenschutz-Verordnung der EU, die weitreichende Auswirkungen auf die Art und Weise hat, wie Webseiten funktionieren (dürfen) bzw. wie mit den Daten umzugehen ist, die über sie erhoben werden.
GDPR steht dabei für General Data Protection Regulation, DSGVO als die deutsche Bezeichnung für Datenschutz-Grundverordnung.

Obschon seit 2016 in Kraft, wird es jetzt allmählich ernst: ab dem 25. Mai 2018 ist die Regelung verpflichtend. In erster Linie zielt die DSGVO auf große Unternehmen wie Google, facebook & Co. ab,  betrifft aber halt auch Blogs.

Was heißt die DSGVO für mich und meinen Blog?

Dieser Beitrag ist keine Rechtsberatung – ich bin kein Experte, ich habe mir die Infos auch nur zusammengegoogelt. Im Folgenden liste ich aber einfach mal auf, an welchen Stellschrauben ich hier gedreht habe.

Tatsächlich habe ich hier in den letzten Tagen nämlich eine ganze Menge umgebaut – einiges nur versteckt unter der Haube, einiges hat aber auch sichtbare Auswirkung.

Grob zusammengefasst ist das Ziel dabei, nach Möglichkeit nur so viele Informationen über meine Besucher zu speichern, wie ich wirklich benötige – und auch dafür zu sorgen, dass niemand anders diese Informationen abgreifen kann (etwa Google oder Social Media-Plattformen durch entsprechende Plugins).

Umfangreiche Infos zur DSGVO findest du etwa drüben bei Melanie und Thomas von Reisen-Fotografie in ihrem Artikel DSGVO als Blogger.

Adieu, Pin It-Button

Aus Gründen der Ladezeit habe ich schon länger darauf geachtet, nicht zu viele Scripte von anderen Webseiten einzubinden. Das passiert wahnsinnig leicht – etwa durch Social Media-Plugins wie den Pin It-Button, eine Galerie mit den neusten Instagram-Bildchen oder durch Tracking-Scripte von Google Analytics, Blogfoster und Konsorten.

Die Buttons zum Teilen auf Social Media-Plattformen sind bei mir schon immer einfache Textlinks ohne mithorchendes Script dahinter gewesen, die musste ich also nicht anfassen.

Eines der wenigen verbliebenen Scripte war bis vor kurzem das für den Pin It-Button von Pinterest: wenn du mit der Maus über ein Foto gefahren bist, konntest du es direkt auf Pinterest teilen. Das habe ich jetzt ausgebaut, da dafür ein Script von Pinterest nötig war. Über dieses Script konnte Pinterest hier Informationen sammeln.

Du kannst natürlich weiterhin meine Artikel auf Pinterest teilen – darüber freue ich mich sehr! 🙂
Am einfachsten ist es, wenn du das direkt von Pinterest aus tust (das rote Plus oben in der Leiste anklicken » Über Webseite speichern).

Pinterest: Über Webseite speichern

Oder du nutzt den kleinen Pinterest-Button am Ende der Artikel, wobei der leider immer nur das Beitragsbild auswählt und nicht das für Pinterest optimierte Bild. Da muss ich in einer ruhigen Minute nochmal an den Code ran.

Matomo (ehemals Piwik) statt Google Analytics

Statistiken sind eine großartige Sache. Dementsprechend gern habe ich auch Google Analytics benutzt, um ausgefuchste Zahlen zu erhalten. Das ist auch trotz DSGVO weiterhin möglich, die drei Bedingungen galten auch bislang schon hierzulande:

  1. Die IP-Adressen werden nur anonymisiert gespeichert – check.
  2. Man hat selbst mit Google einen sogenannten Vertrag zur Auftragsdatenverarbeitung abgeschlossen, d.h. einen dicken Stapel bedrucktes Papier nach Irland geschickt und unterschrieben zurückerhalten.
    Das hatte ich schon vor Jahren gemacht… allerdings fiel mir dann jetzt ein, dass ich damals noch unter einer anderen URL gebloggt habe. Eek, somit wäre wohl eigentlich ein neuer Vertrag fällig.
  3. In der Datenschutzerklärung weist man darauf hin, dass man Google Analytics einsetzt und gibt dem Besucher die Möglichkeit zum Opt-Out, d.h. dass er nicht getrackt wird. Hatte ich auch drin.

Eigentlich hätte ich Google Analytics also ruhigen Gewissens weiter benutzen können (mit einem neuen Vertrag), aber irgendwie hat es mich halt dann doch gestört, dass so viele Daten von meinen Besuchern an einen Konzern in den USA übermittelt und dort im großen Stil verarbeitet werden.

Daher setze ich seit diesem Monat doch wieder Piwik ein, das seit kurzem Matomo heißt: das habe ich auf meinem eigenen Webspace installiert, die Daten gehen also nicht an Dritte. Vom Funktionsumfang her ist es nicht ganz so ausgefeilt wie Google Analytics, reicht mir aber völlig.

Auch hier kann man einstellen, dass die Daten pseudonymisiert werden, sprich, die IP-Adressen werden nicht komplett gespeichert.

Matomo: IP-Adressen anonymisieren

Kontaktformular abgeschafft

In meinem MediaKit hatte ich bislang ein Kontaktformular drin. Grundsätzlich kann man die Dinger auch weiterhin nutzen, allerdings mit einer Extra-Checkbox, dass man der Speicherung der Daten zustimmt.

Ehrlich gesagt, war mir das zu umständlich. So wahnsinnig viele Anfragen kommen über das Kontaktformular eh nicht, und man kann mir ja schließlich auch ganz normal eine Mail schreiben. Die Adresse steht im Impressum.

Wieder ein Plugin weniger, wieder ein Punkt weniger, den ich im Auge behalten muss. 🙂

Huch – wo kommen denn die facebook-Scripte her?!

Aus Neugier installierte ich dieser Tage das Chrome-Plugin Ghostery, mit dem man sieht, welche Tracking- oder Werbescripte eine Webseite einbindet.
Und da war ich doch arg verdutzt, als mir hier zwei Scripte von facebook angezeigt wurden (Facebook Connect und Facebook Impressions). Die hatte ich definitiv nicht eingebunden?!

Dem Rätsel kam ich auf die Schliche, als ich den Quellcode meines Themes durchsuchte. Obwohl ich viel daran umgeschrieben habe, basiert es ja auf einem gekauften Theme (Soledad). Und das bindet standardmäßig tatsächlich diese Scripts ein. Tschüß, die entsprechende Funktion habe ich dann mal rausgeworfen. Das pure Überschreiben des betreffenden JavaScript-Files in meinem Child-Theme brachte übrigens nichts, das musste ich direkt im Parent-Theme ändern.

Macht’s gut, Google Fonts

Schwergefallen ist mir der Abschied von Google Fonts. Die waren einfach unglaublich praktisch. 😐

Eigentlich kann man im Webdesign nämlich nur eine Handvoll Schriftarten verwenden – diejenigen, bei denen man davon ausgehen kann, dass sie auf jedem Rechner installiert sind, sei es nun Windows, Mac, ein Android-Smartphone und so weiter. Die Dinger sind sowas von 2004…!

Dann wurden irgendwann Webfonts erfunden – auf einmal konnte man ausgefallenere Schriftarten einfach auf seiner Webseite bereitstellen, sodass sie nicht mehr auf dem Rechner des Betrachters vorhanden sein mussten. Das war schon mal gut, allerdings ging das zu Lasten der Ladezeit und war auch nicht immer ganz einfach.
Richtig populär wurden Webfonts erst dank Google Fonts – fortan konnte man sich nämlich einfach bei Google eine Schriftart aussuchen und musste dafür bei sich selbst nur eine schnuckelige Zeile Code einbinden. Coole Sache.

Blöderweise horcht Google dadurch aber auf der Webseite mit und sammelt Informationen über die Besucher. Also nicht DSGVO-konform.
Theoretisch kann man sich die Google Fonts herunterladen, in ein webtaugliches Format umwandeln und auf dem eigenen Webspace hochladen. Praktisch hängen da aber natürlich Lizenzdinge dran und als Nicht-Jurist bin ich aus den Angaben nicht ganz schlau geworden. In dubio nur dat eigene, oder so ähnlich.

Schweren Herzens habe ich die Google Fonts nun also rausgeschmissen und nutze hier wieder ganz klassisch Georgia und Arial. Hach…

Update: dank der Anmerkungen in den Kommentaren weiß ich jetzt, dass das aus Lizenzsicht erlaubt ist. Jetzt muss ich also nur noch Zeit und Muße finden, das Ganze umzubauen. 😉

Kommentare

Kommen wir zu dem Bereich, wo ganz offensichtlich Daten der Besucher gespeichert werden – zu den Kommentaren.

Es werden keine IP-Adressen mehr erfasst

Von Hause aus speichert WordPress die IP-Adresse zu jedem eingegebenen Kommentar. Das habe ich jetzt unterbunden, indem ich einen kleinen Codeschnipsel in der functions.php eingebaut habe:

// keine IP-Adressen von Kommentarschreibern speichern
function remove_comment_ip()
{
   return "127.0.0.1";
}

add_filter( 'pre_comment_user_ip', 'remove_comment_ip', 50); // 50 = Prio, wichtig für Antispam Bee

Der sorgt dafür, dass beim Abspeichern eines neuen Kommentars die eigentliche IP-Adresse mit einem immer gleichen Standardwert überschrieben wird (127.0.0.1 ist localhost).

Das gilt nur für neue Kommentare – ich musste mich also noch um die bereits gespeicherten Kommentare kümmern. Deren IP-Adresse zu entfernen, geht aber easy-peasy mit einer Zeile SQL in der Datenbank:

UPDATE wp_comments SET comment_author_IP = ' ';

Für beides war der Artikel über WordPress und DSGVO im Kritzelblog sehr hilfreich. Der Code zum Überschreiben der IP-Adressen stammt von Thomas Leister und verträgt sich auch wunderbar mit dem (datenschutzkonformen) Plugin Antispam Bee, das ich hier einsetze. Ich habe den Code halt nur nicht als eigenständiges Plugin eingebunden, sondern direkt in die functions.php eingetragen.

In der Kommentarliste von WordPress steht bei den alten Kommentaren jetzt also gar keine IP-Adresse mehr und bei den neueren einfach immer 127.0.0.1.

DSGVO: keine IP-Adresse von Kommentaren in WordPress

Keine Gravatare mehr

Im Kommentarbereich hier unter den Artikeln wurden bislang kleine Avatare angezeigt. Die hat WordPress über den Anbieter Gravatar zur Verfügung gestellt – anhand der eingegebenen Emailadresse wurde bei Gravatar nachgefragt, ob sich derjenige dort mal angemeldet und ein Bildchen hochgeladen hatte.

Das ist nun auch rausgeflogen… schade, dadurch wirkt der Kommentarbereich ein Stück unpersönlicher. Aber was soll man machen. 😐

Kommt noch: Checkbox im Kommentarbereich

Es sieht so aus, als müsstest du künftig beim Absenden eines Kommentars immer eine Checkbox anklicken, dass du mit dem Speichern deiner Daten einverstanden bist.

Aktuell gibt es dafür ein WordPress-Plugin, was allerdings für mich nicht gut funktioniert (weil ich dabei keine Kommentare mehr über das Backend beantworten kann). Es soll bis Ende Mai aber wohl eine entsprechende Funktion im Standard von WordPress enthalten sein, da warte ich also noch etwas ab.

Update: seit Version 4.9.6 (veröffentlicht am 17. Mai) bringt WordPress etliche Datenschutz-Funktionen mit, unter anderem besagte Checkbox unter den Kommentaren. Sämtliche neuen Features findest du in den Release Notes, alles zur DSGVO im Abschnitt „Privacy“.
Bei mir wurde diese Checkbox zunächst nicht angezeigt, da ich den Code des Kommentarbereichs mit einer eigenen comments.php stark umgeschrieben hatte. Da griffen dann die neuen Standard-Funktionen nicht mehr, sodass ich meine comments.php entfernt habe und jetzt den Default von WordPress nutze.

Vertrag zur Auftragsdatenverarbeitung mit dem Webhoster

Wenn ich sage, dass die Daten bei mir liegen, stimmt das so nicht ganz. Genau genommen liegen sie nämlich auf dem Server meines Hosters, auf dem ich entsprechend Platz gemietet habe.

Daher muss man – ähnlich wie mit Google, wenn man Google Analytics einsetzt – auch mit dem Hoster einen Vertrag zur Auftragsdatenverarbeitung abschließen. Mein Hoster All-Inkl kündigte an, rechtzeitig bis zum 25. Mai einen entsprechenden Vertrag zum Download bereit zu stellen. 
Update: seit Anfang Mai ist ein entsprechender Vertrag im Kundenbereich verfügbar. Daumen hoch!

Überarbeitete Datenschutzerklärung

Last but not least habe ich auch meine Datenschutzerklärung nochmal überarbeitet.

Bisher erwähnte ich dort beispielsweise, dass ich die IP-Adressen der Kommentare speichere – dem ist jetzt ja nicht mehr so. Der Passus über Google Analytics durfte rausfliegen und wurde durch einen für Matomo ersetzt.

Außerdem habe ich versucht, in verständlichen Worten (auch für Nicht-Juristen oder Internet-DAUs) zu erklären, welche Daten ich hier warum erfasse.

Was ist mit dem Verarbeitungsverzeichnis?

Ähnlich wie Melanie und Thomas habe ich das dubiose Verarbeitungsverzeichnis noch nicht angelegt. Darin soll in einer nicht weiter spezifizierten Form stehen, welche Daten ich erfasse, wie sie verarbeitet und gespeichert werden und so weiter.

Mir ist einfach nicht ganz klar, ob ich das als Ein-Personen-Blogger nun wirklich brauche oder nicht – in der DSGVO heißt es, dass es erst Firmen ab 250 Mitarbeitern benötigen oder wenn man bestimmte Kriterien erfüllt wie etwa die Verarbeitung personenbezogener Daten. Tja – was heißt das denn konkret? Ist es schon ein „Verarbeiten personenbezogener Daten“, wenn man in einem Blog Kommentare hinterlassen kann? o_o

Da wird sich in den nächsten Monaten sicherlich noch einiges klären.

DSGVO – Datenschutzgrundverordnung

Was machen die anderen Blogger?

Ich bin natürlich nicht die einzige Bloggerin, die sich derzeit auf die DSGVO vorbereitet und entsprechend den Blog umrüstet:

Wie schaut’s bei dir aus? Hast du dich schon mit der DSGVO befasst und deinen Blog unter die Lupe genommen?

72 Kommentare zu „Die DSGVO und was sich hier im Blog ändert“

  1. Liebe Anne, ich habe mich mit dem Thema nicht befasst und ehrlich gesagt, ich merke, das überfordert mich total. Vielleicht muss ich den Blog auch schließen. Keine Ahnung. Bin gerade etwas geschockt und habe Zweifel, ob ich alleine das so hinkriege, wie Du es gemacht hast. Liebe Grüße und frohe Ostern!

    1. Hallo Karo,

      immer mit der Ruhe. Ich lese das im Moment immer wieder, dass Leute aus Panik vor der DSGVO ihren Blog schließen wollen… möp. So ein Drama ist die DSGVO nun auch nicht. Es gibt ein paar technische Dinge, ja, aber so wild sind die letztlich auch nicht. Im Zweifelsfall weiß ironischerweise ausgerechnet Tante Google meistens Abhilfe, wie man dieses oder jenes einstellen kann.
      Wobei ich nicht weiß, inwieweit Blogspot da umgerüstet wird… ich kann mir aber eigentlich nicht vorstellen, dass Google es riskiert, damit in Risiken reinzulaufen.
      Wenn du irgendwo nicht weiterkommst, melde dich – ich versuche gerne zu helfen.

      Ich hoffe, du hattest trotz der DSGVO schöne Ostertage. 🙂

      Liebe Grüße
      Anne

  2. Liebe Anne, ich habe mich bisher auch ein wenig gedrückt. Da ich aber auf der Arbeit auch damit konfrontiert bin, hat es mich zum Glück nicht mit Schrecken getroffen, aber ich weiß, dass ich einen Sonntag opfern muss, um auch alles richtig umzusetzen. Danke für den Ansporn!

    Liebe Grüße,
    Vita

  3. Vielen, vielen Dank für die Aufklärung! Ich habe unter einem Blog das Einverständnis-Kästchen entdeckt und war so geschockt, dass ich das Fenster geschlossen habe. Natürlich werden personenbezogene Daten gespeichert – aber durch das Kontrollkästchen wurde mir das richtig bewusst und es hat mich verunsichert. Daher finde ich es toll, dass du uns erklärst, welche Daten du speicherst bzw. die Website speichert und wie du damit umgehst. Ein sehr konstruktiver Beitrag inmitten der Unsicherheit!

    1. Hallo Evy,

      es freut mich, wenn ich mit meinem Beitrag ein bisschen Klarheit in die ganze Thematik bringen konnte. 🙂

      Ich find’s bemerkenswert, welche Auswirkungen so eine Checkbox psychologisch gesehen hat. Mir ging es nämlich erstmal ähnlich – so ein innerliches Zurückzucken, ob ich dem wirklich zustimme?! Ich mein, eigentlich ist es einem ja klar, dass das gespeichert wird, was ich in das Kommentarfeld eintrage. Andernfalls wäre es ja herzlich sinnbefreit, das Ding überhaupt auszufüllen. Das sagt einem der gesunde Menschenverstand. Aber sobald da so ein Häkchen gesetzt werden will, hat das auf einmal einen merkwürdigen Beigeschmack à la „Oha, kaufe ich damit jetzt am Ende eine Waschmaschine…?!“
      Ich hoffe, dass das keine negativen Auswirkungen auf die Kommentierkultur in der Blogosphäre haben wird. :/

      1. Ja, mich hat das auch überrascht. Ich habe auch daran gedacht, dass es die kommentar-kultur verändert. Aber ich denke, dass die Auswirkungen nicht so riesig sind. Stammleser werden das einfach anklicken, weil sie dem Blogger vertrauen. Unentschlossene Leser werden erstmal zögern und vlt. nicht kommentieren. Aber … der Großteil wird das wohl einfach überlesen bzw. als das kleinere Übel betrachten.

  4. Ich bin gerade sehr, sehr froh, dass ich gar keine Kommentarfunktion mehr habe, denn damit bin ich tatsächlich nicht betroffen, da ich null Daten speichere und null Skripte verwende. Okay, oder eins, muss mal die Schriftart noch prüfen. Das mit dem selber hosten von Schriften kenne ich aber schon, wird im Zweifel dann jetzt umgestellt, ist eh schöner.

    Was war das Problem mit Gravatar? Und was zum Henker steht in einem „Vertrag zur Auftragsdatenverarbeitung“? Vermutlich brauche ich keinen, aber das würde witzig werden, denn mein Server steht in Amsterdam und der Anbieter sitzt in den USA…

    Statt dass alle jammern und 1000 halbseriöse Anbieter irgendwelche Beratungen verkaufen, hätte man lieber mal dafür sorgen sollen, dass die DSGVO einen Passus bekommt, dass nichtkommerzielle Webseiten oder Webseiten mit weniger als X Angestellten oder so ausgenommen werden. Wobei viele Blogs natürlich kommerziell sind, wenn sie gekaufte Artikel posten.

    1. Ja, du bist da wirklich fein raus. Wobei es für mich selber keine Option wäre, die Kommentare abzuschalten – da käme ich mir vor, als führte ich die ganze Zeit über Selbstgespräche. 😉

      Das Problem mit Gravatar ist: augenscheinlich gibt man seine Emailadresse bloß auf dem Blog ein, auf dem man einen Kommentar schreibt. Aber im Hintergrund schickt WordPress diese Emailadresse an Gravatar, damit die wiederum überprüfen, ob sie ein damit verknüpftes Bildchen haben. Gravatar bekommt also mit, wer wo mit welcher Emailadresse kommentiert.
      Ich bin auch mal gespannt, was genau in diesem Vertrag drinsteht.

      Naja – das Problem ist halt, dass auch kleine, nichtkommerzielle Seiten u. U. Dienste von Konzernen wie Google nutzen. Und das wiederum bedeutet, dass die Bewegungen im Internet von Otto Normalverbraucher von ihm unbemerkt an diese Firmen übermittelt werden.

      1. Ich hab halt eh nie Kommentare bekommen. So richtig toll finde ich das auch nicht, aber in den acht Jahren waren es vielleicht insgesamt so 300. Der Vorteil ist halt, dass meine Seite statisch ist und dadurch superschnell.

        Naja, natürlich bekommt Gravatar die Mailadresse. Aber erstens ist Gravatar ein WordPress-Dienst und WordPress nutzt du ja eh (ist also moralisch irgendwie vertretbar). Zweitens, okay, theoretisch könnten die speichern, wer wann wo kommentiert. Tun sie das? Was sagen deren Datenschutzbedingungen? Einfach abschalten ist natürlich leichter, aber da könnte man sicher auch eine schönere Lösung basteln.

        Und gut, der letzte Punkt stimmt, so weit hatte ich vorhin nicht gedacht.

        1. Die DSGVO verbietet dir aber Daten die nicht DIR gehören an Konzerne in der USA(oder sonst wo) zu schicken um dort abgleiche zu machen. Die Daten gehören schließlich nicht dir und es gibt Personen, die weder WordPress als Blogger nutzen, noch Gravatar. Und dennoch gerne Blogs lesen und kommentieren, deren Adresse wird auch Munter durch die Welt geschickt, was eben nichts mehr mit Datensicherheit zu tun hat.

          Die Datenschutzbestimmungen im Ausland sind leider nicht so sicher wie eben jetzt in der EU. In der USA kannste alles kaufen wie du lustig bist und auch daten verkaufen. Da kräht kein Hahn nach.
          Und zwar nutzt Anne WordPress, aber selbstgehostet, also nur den Script, nicht die Server. Die stehen hier in Deutschland (bei den meisten Blogger) und die müssen genauso sich an der DGVO halten und genau das wird in diesen Vertrag mit dem Hoster dann stehen 😀

          Gravatar kann man zb auch ganz ohne WordPress nutzen, wenn man den Script zum abfragen in seinen Blog integiert. Das eine hat also mit dem Anderen net zu tun, ist nur vom gleichen Anbieter. WordPress.com ist ja was anderes als WordPress.org für selbsthoster.

          1. Jap, genau. Wobei es in Sachen DSGVO wurscht ist, wo die Server stehen oder wo sich der Firmensitz befindet – sie gilt für jeden, der Daten von EU-Bürgern verarbeitet. Sprich, auch wenn eine Firma in Florida sitzt und ihre Server dort zu stehen hat, muss sie DSGVO-konform sein, sobald sie sich mit ihrem Angebot (zumindest potentiell) an EU-Bürger richtet… das kann schon der Fall sein, wenn sie bspw. eine auf Deutsch übersetzte Version ihrer Webseite anbietet oder hierher Produkte liefert.

  5. du liebe zeit. also ich muss sagen, ich finde das total überfordernd, zumal ich über wordpress.com schonmal viele zugriffe auf skripte gar nicht habe und mich damit auch nicht auskenne. gravatar kann ich zb glaub ich gar nicht rausschmeißen. keine ahnung, wie ich das also gesetzeskonform umsetzen soll :/

    1. Bei wordpress.com bin ich mir nicht sicher, wann und wie sie das System ändern – ich kann mir aber gut vorstellen, dass es da bis Mai noch etliche Änderungen geben wird. Zumindest gibt es eine GDPR-Roadmap für WordPress, wo etliche Dinge geändert werden, und die Updates werden sicher auch wordpress.com betreffen. Es bleibt spannend…

  6. Hallo Anne,
    Danke für die ergiebige Ausführung, sie brachte mir Licht ins Datenschutzdunkel. Nun habe ich doch noch eine Frage, ich hoste auch seit Jahr und Tag bei all inkl habe aber bisher keine Ankündigung bekommen bzw. finde auch nichts auf der Internetseite von all inkl . Wie werde ich der Information habhaft? Hattest Du eine Anfrage gestartet?

    Viele Grüsse
    Doris

  7. Mir geht es auch so – ich blogge so fröhlich über Nachhaltigkeit etc dahin und habe überhaupt keine Ahnung von Scripten oder sowas. Ich bin da völlig ratlos und überfordert. Aber Kopf in den Sand stecken ist wohl keine Option? Wie soll ich das denn bewerkstelligen? Ich würde mir zB wünschen, dass auf meinem Blog jeder kommentieren kann, ohne sich mit email anmelden zu müssen. Wie geht denn sowas?

    1. Hallo Katrin,

      mh, du bist bei wordpress.com, oder?
      Soweit ich weiß, kannst du das dort (ebenso wie beim selbst gehosteten WordPress) noch nicht einstellen. Da gibt es nur die Option, dass man Name und Mailadresse hinterlassen muss. Möglicherweise ändert WordPress das aber noch bis Mai… ich gehe halt davon aus, das sich ein so großes Unternehmen auch nicht dem Risiko aussetzen wird, gegen die DSGVO / GDPR zu verstoßen.

      Liebe Grüße
      Anne

  8. Ich finde deinen Beitrag sehr informativ. Ein paar andere Blogger haben über ihre Änderungen zum Blog ja auch schon berichtet. Ich muss/werde auch noch Anpassungen vornehmen müssen, bin allerdings in dem Punkt überfragt wie ich das teilweise machen kann, bzw. was ich genau machen muss (da ich ja keine bezahlte Werbung anbiete, etc.)
    Ich bin nicht bei WordPress sondern bei Blogspot und alle Beiträge die ich bisher in der Bloggerwelt las drehten sich um WordPress Blogs…
    …für mich ist das echt zum Haare raufen. x.x

    Lieben Gruß, nossy

  9. Hey Anne,
    danke für deinen Beitrag und noch mal den Anstoß, dass ich endlich mein Kontaktformular loswerden wollte. Das habe ich schon länger vorgehabt, aber immer wieder vergessen.

    Ich habe schon einiges aus meinem Blog geschmissen, aber auf einiges möchte ich auch nicht verzichten, wie z.B. die Gravatare. Die haben schon seit Jahren Daten verschickt und eine DSGVO wird das nicht ändern. Bisher hat es ja auch keinen gestört, dass die Daten verschickt wurden, obwohl es jedem bewusst sein sollte. 😉

    Das Verarbeitungsverzeichnis macht mir noch am Meisten Kopfzerbrechen. Ich steige da einfach nicht durch. Ich habe so viele Vorlagen angeschaut… Gnah! Aber das lass ich auch erst mal sein. 😀

    Ganz lieben Gruß
    Steffi

    1. Hallo Steffi,

      ja, da wird es in den nächsten Wochen sicher noch mehr Klarheit geben, wie genau das auch aussehen soll – reiner Text? Diagramme? Die Prozesse in der Firma modellieren wir als BPMN, aber hier für den Blog? Hmm.

      Mir persönlich wäre es zu heikel, für so etwas wie Gravatar ein Risiko einzugehen. Klar, die Wahrscheinlichkeit ist relativ gering, dass jemand kleineren Blogs deswegen hinterher rennt, aber trotzdem würde mich das nicht gut schlafen lassen. 😉

      Liebe Grüße
      Anne

  10. Pingback: DSGVO - Wenn bloggen zur Gipfelbesteigung wird | The Strangebeauty

  11. Liebe Anne,
    ich war mal so frei Deinen Artikel bei mir im Post zu verlinken, da er doch sehr viele Informationen gebündelt parat hält.
    Ansonsten – die DSGVO nervt. Gerade bei uns kleinen Bloggern. Ich überlege zu wordpress.org zu wechseln. Da erledigt sich diese Geschichte von selbst.

    1. Hallo Susi,

      lieben Dank für’s Verlinken!

      Hmm, bei wordpress.org bist du genauso betroffen von der DSGVO. Du bleibst ja weiterhin diejenige, die für den Blog verantwortlich ist – egal ob du selber hostest oder über einen Anbieter bloggst. Nur mit dem Unterschied, dass du es dann nicht mehr selber in der Hand hast, die nötigen technischen Vorkehrungen zu treffen, und abhängig von wp.com bist…

  12. Hallo Anne,

    DSGVO spielt bei mir (noch) keine Rolle auf dem Blog, eher in dem Verein, in dem ich tätig bin. Da sind wir schon seit dem letzten Jahr dran, uns Infos reinzuholen, was genau sich für uns ändert bzw. worauf wir generell zu achten haben (wir sind noch ein junger Verein :D). Daher kann ich absolut verstehen, dass das ganze Thema erst mal sehr groß wirken kann.

    Nichtsdestotrotz finde ich es eine gute Sache, dass europaweit gleiche Standards gelten sollen und das Thema Daten(schutz) vermehrt in die Öffentlichkeit getragen wird. Natürlich ist es besonders für kleine Blogger nervig, aber im Großen und Ganzen finde ich doch, dass die Neuerungen eine gute Sache sind. 🙂

    Zu dem Punkt mit dem „Verarbeiten“ steht in der aktuellen, bis zum 25.5. noch geltenden, Ordnung, dass damit das „Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten“ gemeint ist. Vielleicht hilft dir das ja. :3

    Liebe Grüße
    Lara

    1. P.S. Das Speichern würde ja auf dich zutreffen, oder? Und wenn ich das richtig im Kopf habe, ist mit Sperren bzw. Löschen gemeint, dass die Daten verschlüsselt werden (was mit deiner Anpassung der IP-Adressen bei den Kommentaren wohl reinfallen würde) oder eben nicht zugänglich für Dritte gemacht werden.

    2. P.P.S.: Gerade per Zufall herausgefunden, dass die neue Verordnung keinen Unterschied mehr macht und mit „Verarbeiten“ alles von Erhebung über Verarbeitung hin zu Nutzung gemeint ist. 😀

    3. Hallo Lara,

      ah, danke für den Hinweis! 🙂

      Super, dass ihr euch für euren Verein rechtzeitig um die DSGVO kümmert! Ich vermute mal, dass jede Menge Clubs und Vereine, die nicht sonderlich internetaffin sind, das gar nicht mitbekommen…

      Liebe Grüße
      Anne

  13. Liebe Anne,
    ich bin erst vor wenigen Tagen über dieses Thema gestolpert und war erstmal schockiert, um es es freundlich auszudrücken.
    Teilweise entdecke ich jetzt auch Dinge, die mir nicht bewusst waren, wie z. B. die Google Fonts.
    Und teilweise finde ich die Anforderungen auch ganz schön hart, unverständlich und auch unerfüllbar für mich als Google Blogger.
    Datenschutz ist wichtig, aber schüttet man hier nicht in manchen Punkten das Kind mit dem Bade aus?
    Ich bin ja auch kein Jurist und kann mir auch keinen leisten. Bloggen ist ein Hobby. Und natürlich fürchte ich auch die nächste Abmahnwelle.
    Ich bin mal gespannt.
    Danke für die Infos.

    Viele liebe Grüße
    Wolfgang

    1. Hallo Wolfgang,

      mhm, in manchen Punkten schießt die DSGVO meiner Meinung nach auch übers Ziel hinaus bzw. riskiert, uns in Sachen technologischem Fortschritt teilweise ganz schön zurückzuwerfen. Andererseits schärft sie das Bewusstsein dafür, wo und wie man im Internet überall getrackt wird… das mit den Google Fonts etwa war mir lange Zeit nicht bewusst.

      Wie ich irgendwo weiter oben in den Kommentaren schon geschrieben habe – gerade was Scripte von Gooogle oder facebook angeht, würde es halt in puncto Datenschutz nichts bringen, kleine / nicht-kommerzielle Blogs von der Verordnung auszunehmen. Denn über die werden den großen Konzernen halt genauso Daten zugeschaufelt.

      Liebe Grüße
      Anne

  14. Hallo Anne,

    das ist wirklich mal ein sehr hilfreicher Beitrag.Vor allem der Tipp mit dem Ghostery-Addon für Chrome war sehr hilfreich, hat er mich selber auf einige Probleme aufmerksam gemacht.

    Ich frage mich nämlich auch gerade, wo die Facebook-Scripte herkommen (Facebook Connect und Facebook Impressions), leider konnte ich diese bis dato bei mir im Theme so gar nicht finden. Kann das noch eine andere Ursache haben?

    Ansonsten habe ich das meiste umgesetzt, wobei immer noch das ein oder andere kritisch ist, wie etwas Jetpack. Aber auch an diesem Plugin wird ja bis Ende Mai noch gearbeitet, vielleicht kommt hier ja noch ein Update. Zeitraubend ist die Verordnung allemal, aber ein unnötiges Risiko sollte man nicht eingehen.
    Viele Grüße
    Jens

    1. Hallo Jens,

      freut mich, dass dir der Artikel weiterhilft!

      Ich hatte mir mein komplettes Theme (also das Parent-Theme) heruntergeladen und dann via Sublime sämtliche Files nach „connect.facebook“ durchsucht (das ist ein Teil einer der URLs, von der bei mir wie auch bei dir Scripte von fb gezogen wurden). Das fand sich dann in einer JavaScript-Datei (libs-script.min.js).

      Viele Grüße
      Anne

      1. Hallo Anne,

        nochmals Danke! Der Tipp mit Sublime war mehr als hilfreich, jetzt habe ich das Script ausfindig machen können.

        Das Ganze bleibt enorm aufwendig, aber immerhin lernt man doch einiges über Datentracking dazu und wird auch sensibler, was das Thema angeht.

        Schade war es um die Schrift, aber ich habe mich jetzt schweren Herzens auch von Google Fonts getrennt, bei einer weiteren Website von mir wird das schwieriger, hier sind keinerlei Standardschriftarten zur Auswahl.

        Einige Punkte bleiben aber sicher noch eine Weile ungeklärt, bsp. nutze ich weiter Jetpack, was nach aktuellem Stand schwierig ist, aber hier sind auch noch Updates angekündigt, mal abwarten.

        Für die Social Button-Sharing-Funktionen setze ich generell auf das datenschutzkonforme Shariff-Plugin, bei mir habe ich allerdings noch die Problematik, dass in vielen Artikeln auch Tweets/Videos und/oder Facebook-Videos eingebettet sind, da habe ich noch keine aktuelle Lösung parat, außer die herauszunehmen, dass kann allerdings bei über 1.000 Beiträgen im Blog noch lustig werden 😉

        Aber ich bin dank deiner Tipps hier wirklich ein großes Stück weiter. Viele Grüße Jens

        1. Hallo Jens,

          yay, gut dass du den betreffenden Code aufspüren konntest. 🙂

          Bestehende Artikel (aus welchem grund auch immer) überarbeiten zu müssen, ist echt nervig… am besten suchst du dir über die Datenbank alle betreffenden Beiträge heraus, damit du nicht alle Posts einzeln durchsehen musst.

          Liebe Grüße
          Anne

          1. Hallo Anne,
            eins ist mir noch eingefallen, da ich auch zwei andere Websites habe, bei denen ich keine Standardschriftart auswählen kann und nur Google Web Fonts habe: So wie ich das sehe, kann man sich seinen Web Fonts auch herunterladen und auf dem Server des eigenen Providers wieder hochladen,das sollte auch möglich sein.
            Viele Grüße
            Jens

  15. Puh, ich hab jetzt soweit ja alles vorgenommen, nur das mit den Google Fonts -.- nun hab ich endlich ein Theme was mir gefällt, aber natürlich wird es ja auch imemr wieder geupdatet und wup sind die änderungen weg, wie rauslöschen von scripten oder den Fonts… erst grad wieder passiert -.-“
    Wie wirkst du dem entgegen?

    1. Ja, das ist nervig… da bleibt nur, entweder keine Theme-Updates mehr einzuspielen oder eine Liste zu haben, was nach einem Update wieder manuell rausgeworfen werden muss. So mache ich das; Theme-Updates kommen zum Glück meist nicht so oft.

      1. Ah, das mit der Liste ist eine Idee, ich hab schon für die Functions.php einen klassischen include Befehl genommen XD ich bin immer zu faul für ein ChildTheme xD So muss ich immer nur den Schnippsel einfügen, klappt prima 😀

  16. Liebe Anne, danke für diesen hilfreichen Beitrag! Mich persönlich überfordert das ganze Thema ja etwas, denn ich habe echt null Ahnung von Skripten und dem ganzen Zeugs. 😀 Habe trotzdem schon angefangen, ein paar Dinge umzusetzen. Was mich allerdings extrem irritiert, ist, dass mir Ghostery auf meinem Blog Piwik als Tracker anzeigt. Ich kann mir nur nicht erklären, warum.

  17. Pingback: Das war mein März 2018 - Himmelsblau.org

  18. Pingback: Linkliebe № 16 | LexasLeben

  19. Hallo und vielen Dank, für den schönen Beitrag.
    Ich bin bei meinem Blog aktuell auch dran, kann allerdings so gut wie nichts vorbereiten / umsetzten, da ich einen Blogspot-Blog habe. Google lässt sich gerade schön Zeit und ich sitze da und sehen wie der 25.5 immer näher kommt. Alles was in meiner Macht steht ist umgesetzt oder in Arbeit, aber auf das meiste hat leider nur Google Zugriff. Ich hoffe da kommt noch was, sonst werde ich eine Umzug zu WordPress in Betracht ziehen und selber hosten.
    Alles Gute für dich und deinen Blog

    Sara

    1. Hallo Sara,

      uff, ja… ich glaube, ich wäre auch verdammt nervös, wenn ich so abhängig von einem Anbieter wäre. Google hält sich ja leider oft recht bedeckt, was die Ankündigung von Produktupdates anbelangt. Toi toi toi, dass Blogspot auch bald DSGVO-konform erweitert wird!

      Liebe Grüße
      Anne

  20. Vielen Dank, liebe Anne.
    Ich bin gerade dabei, mir alle Infos zusammen zu suchen und dann bis Mai umzusetzen. Ich bin dir sehr dankbar für die Passage mit Datenbank und dem php-file. Codeschnippsel helfen natürlich enorm.
    Viele Grüße
    Carola

  21. Eine ganz dringende Ergänzung zu der Aussage

    ‚Das hatte ich schon vor Jahren gemacht… allerdings fiel mir dann jetzt ein, dass ich damals noch unter einer anderen URL gebloggt habe. Eek, somit wäre wohl eigentlich ein neuer Vertrag fällig.‘

    Der Vertrag ist an die Analytics Kontonummer gebunden – nicht an die Domain.

    Die findet sich bei Analytics unter ‚Verwaltung → Kontoeinstellungen → Konto-ID und spiegelt sich auch in der UA-Nr. wider.

    Und wieviele Domaiins darunter gesammelt werden ist irrelevant.

    Die IP kann man über Plugins wie GADWP anonymisieren.

    Und letztlich ist die IP – wie ich finde – eigentlich auch nur sehr kurzfristig ein ‚Personenbezogenes‘ Datum. Denn in der Regel speichern die Telekommunikations-Dienste wie die Telekom die Daten meines Wissens nach nur 7 Tage – sofern sie nicht von Staatswegen zur längeren Aufbewahrung verdonnert werden.

    Wer keine statische IP bezieht, ist also nach einer Woche schon nicht mehr zu identifizieren, weil man bei jedem Neustart des Rechners eine neue IP zugewiesen bekommt.

    1. Hallo Marcus,

      ah, danke für den Hinweis zu dem Vertrag.
      Ja, man kann die IP-Adresse von GA sehr easy mit nur einer Zeile Code im Trackingscript anonymisieren, dafür braucht’s nicht einmal ein Plugin. Das war auch lange vor der DSGVO hierzulande bereits vorgeschrieben.
      All das ändert halt nichts daran, dass man – wenn auch nicht auf einzelne Personen zurückverfolgbare – Informationen im großen Stil an einen Konzern sendet. Unterm Strich bin ich jetzt auch nach mehreren Wochen immer noch zufrieden mit dem Umstieg auf Piwik. 🙂

      Viele Grüße
      Anne

  22. Super Seite! Super Artikel! Meine Seite (zum Teil auch mit Thema Garten -Bauerngarten in den Alpen und Alpenkräuter) ist noch nicht online. Ich habe mich vor allem gefürchtet, was da noch zu tun ist, rechtlich gesehen. Jetzt kann ich mit Deinen Angaben dafür sorgen, dass meine Webseite von Beginn an dsgvo-konform läuft. Ich werde die Angaben im Artikel wie eine Checkliste recherchieren und abarbeiten. Wichtig ist tatsächlich eine gute Datenschutzerklärung. Viele Rechtsanwaltseiten (online) bieten einen entsprechenden Generator kostenfrei an. Die dgd datenschutz (Deutsche Gesellschaft für Datenschutz) bietet ebenfalls einen solchen Generator kostenfrei an. Er wurde von der IHK München besonders empfohlen. Auf der Webseite der dgd datenschutz (so in Google eingeben) ist der Datenschutzerklärungs-Generator zu finden. Danke für diesen doch eher beruhigenden und guten Artikel! Lilo

  23. Hallo Anne,
    vielen Dank für deinen Artikel, der etwas Licht ins DSGVO-Dunkel bringt – wobei mich das alles dann doch irgendwie überfordert. /o\ Mein kleines Blog betreibe ich auf wordpress.com, absolut nicht-kommerziell und mit einem vorgefertigten Template als free-Tarif. Mir mag sich einfach nicht erschließen, warum so Mini-Blogger da auch tätig werden müssen … aber da werde ich wohl nicht drum rum kommen.
    Was mich ein bisschen stutzig gemacht hat – in den Kommentaren vorher wird oft erwähnt, dass Updates eingespielt werden. Ich behaupte, dass bei mir noch nie Updates eingespielt wurden, weder automatisch noch manuell … wo kann ich das nachprüfen oder betrifft das nicht alle wordpress-Blogs?
    Schon vorab herzlichen Dank für deine Hilfe und viele Grüße,
    Karina

    1. Hallo Karina,

      es freut mich, wenn ich dir mit dem Beitrag wenigstens ein Stück weiterhelfen konnte!

      Bei wordpress.com musst du dich ja nicht selber um Updates kümmern. Die Software wird aber tatsächlich im Hintergrund aktualisiert. Davon merkst du nur etwas, wenn neue Funktionalitäten hinzukommen. Ehrlich gesagt weiß ich gar nicht, wie oft Automattic (die Firma hinter wordpress.com) da Updates einspielt… ein paar werden immer mal wieder im Blog angekündigt: https://en.blog.wordpress.com/category/features/

      Liebe Grüße
      Anne

  24. Hallo Anne!
    Vielen Dank für die kompakte Darstellung. Da wären mir die Gravatare doch glatt noch durchgerutscht 🙂 Die Google-Fonts kannst du übrigens absolut frei nutzen – auch auf deiner eigenen Website: https://developers.google.com/fonts/faq.
    Und zur allgemeinen Beruhigung – auch große Firmen und Agenturen wissen gar nicht genau, wie sie mit der DSGVO umgehen sollen. Was war das damals eine Panik, als es hieß, jeder müsse eine Cookie-Notice auf der Website haben..und heute?…

    Beste Grüße
    Konstantin

    1. Hallo Konstantin,

      ah, danke für den Hinweis!

      Das Bemerkenswerte an der DSGVO ist ja, dass sie gar nicht neu ist – bekannt sind die Anforderungen ja schon seit zwei Jahren, nur werden sie jetzt erst verpflichtend. Es kann sich also niemand herausreden, dass er zu spät davon erfahren habe… zwei Jahre sind schon ein verdammt langer Zeitraum.

  25. Toller Artikel und eine sehr schöne Übersicht. Ich bin im Moment noch an der Anpassung der Datenschutzerklärung. Läuft aber gut bisher 🙂
    Denk auf jeden Fall auch daran, keine E-Mails über POP3 oder IMAP von deinem Hoster an zum Beispiel Gmail oder Web-Outlook zu schicken. Das wäre auch eine Weitergabe von personenbezogenen Daten.
    Viele Grüße
    Daniel

    1. Hallo Daniel,

      puh, da sprichst du einen guten Punkt an.
      Bislang hatte ich das tatsächlich seit etwa zwei Jahren so gehandhabt – eine Emailadresse mit der Domain meines Blogs, die als Weiterleitung an eine Gmail-Adresse fungierte. Einfach weil Gmail / Inbox halt schon „leider geil“ ist, was die GUI angeht… auch wenn es mir eigentlich schon länger ein Dorn im Auge war, dass Google darüber meine ganzen Mails abgreifen kann. Das war jetzt ein willkommener Anlass, das Thema endlich mal anzugehen – adieu, Gmail. Die Mails laufen jetzt doch wieder nur über meinen Server und ich habe Thunderbird wieder ausgegraben. 😉

      Danke!

      Liebe Grüße
      Anne

  26. Pingback: DSGVO bei „Mein Senf für die Welt“ » Mein Senf für die Welt

  27. Super Beitrag. Ich sitze gerade auch noch an der Umsetzung.

    Habe noch ähnliche Todos wie du. Google Fonts und mein Verarbeitungsverzeichnis ist auch eher nur so stichwortartig.

    Aber in einigen Punkten bist du auch schon weiter als ist.
    Thema Gravatar. Hast du da einfach in WordPress den haken weggenommen bei Avatar anzeigen?

    und wo finde ich den Haken für die Kommentarfunktion, den du erwähnst? Ich habe alles durchgesucht.

    1. Hallo Judith,

      genau, die Gravatare lassen sich dadurch einfach abschalten.

      Du meinst diese Checkbox unter dem Kommentarfeld, dass Name etc. gespeichert werden dürfen? Die ist seit der aktuellen WordPress-Version automatisch vorhanden – zumindest, sofern du die Standardfunktionen für die Kommentare benutzt und das Kommentarformular in deinem Theme nicht durch eine comments.php modifiziert wird. In dem Falle wird die Funktion für die Checkbox nicht aufgerufen. Theoretisch kannst du die Funktion da auch einfach dazupacken, ich finde nur gerade auf die Schnelle nicht ihren Namen. Ich hab bei mir einfach die eigene comments.php gelöscht, dann tauchte sie auf.

  28. Pingback: Baustelle Datenschutz | my everydaylife

  29. Pingback: [Dies & Das] Rückblick Mai 2018 • Einfach Familie

  30. Pingback: Das Jahr 2018 im Blog | Lieblingsalltag

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen