Änderungen wegen der DSGVO auf Barbaralicious
UPDATE: Dieser Beitrag ist ursprünglich im Sommer 2018 entstanden und wurde zwischenzeitlich mehrmals überarbeitet.
Mittlerweile hat ja fast jeder davon gehört: Die Datenschutz-Grundverordnung oder kurz DSGVO (bzw international General Data Protection Regulation – GDPR) ist am 25. Mai 2018 in Kraft getreten und hat nicht nur für viel Verwirrung gesorgt, sondern vor allem dafür, dass Unternehmen und Websitebetreiber wie wild versuchen, die entsprechenden Änderungen umzusetzen.
Das Thema hat mich selbst seit zwei Monaten im Griff. Ich habe auf vielen Seiten die Hintergrundinfos zusammengesucht und viele Newsletter von Datenschutzexperten abonniert.
Eine ganz neue Entwicklung hat sogar dazu geführt, dass ich eine Zertifizierung als Datenschutzbeauftragte gemacht habe.
In den Gesetzestexten ist von drei Grundsätzen zur Datenverarbeitung die Rede:
- Rechtmäßigkeit (Daten dürfen nur nach ausdrücklicher Einwilligung und Kenntnisnahme der Datenschutzerklärung bzw. AGB verarbeitet werden und nicht beliebig erhoben werden)
- Treu und Glauben (Daten dürfen nicht öffentlich sichtbar gestellt werden und diskret behandelt werden)
- Transparenz (auf Anfrage muss über die gespeicherten Daten schriftlich Auskunft gegeben werden)
Laut Artikel 6, DSGVO muss mindestens einer der folgenden Punkte erfüllt sein, um Daten verarbeiten zu dürfen:
- Eine Einwilligung zur Datenverarbeitung muss vorliegen
- Ein Vertrag kann nur durch Datenverarbeitung erfüllt werden
- Rechtlichen Pflichten kann nur durch Datenverarbeitung nachgekommen werden
- Lebenswichtige Interessen werden durch die Datenverarbeitung geschützt
- Eine Aufgabe, die im öffentlichen Interesse liegt, kann nur durch Datenverarbeitung erfüllt werden
- berechtigte Interessen können nur durch Datenverarbeitung gewahrt werden.
Aber nun zu den Änderungen, die ich vorgenommen habe, um der DGSVO gerecht zu werden. Hier findest du sie im Detail:
Cookies
Seit dem Urteil am 1. Oktober 2019 dürfen nun Cookies prinzipiell nicht mehr ohne vorherige Zustimmung des Website-Besuchers gesetzt werden. Das kannst du hier nachlesen: Zum Urteil am 1. Oktober 2019. Daher benötigst du eine Cookie-Box von einem Anbieter wie Borlabs. Deswegen habe ich alles so abgeändert, dass Barbaralicious ohne Cookies läuft.
Kommentare
Auf Barbaralicious kannst du unter Blogposts Kommentare hinterlassen. Dabei bedarf es seit dem 25. Mai einer zusätzlichen Checkbox, die angeklickt werden muss. So bestätigst du, dass du damit einverstanden bist, dass ich deine Daten (Name, Email-Adresse und – wenn du sie eingibst – deine Website) nach Absenden des Kommentares speichere.
Für die Umsetzung habe ich erst das Plugin WP GDPR Compliance verwendet. Mittlerweile habe ich es über ein Code Snippet eingefügt, um das Plugin loszuwerden.
Bisher wurde beim Absenden eines Kommentares auch noch die IP-Adresse gespeichert. Dies ist nicht mehr erlaubt. Daher waren zwei Änderungen nötig:
- Es muss nun verhindert werden, dass IP-Adressen gespeichert werden
- Alle bisher gespeicherten IP-Adressen müssen gelöscht werden
Diese Änderungen habe ich auf dem ftp-Server bzw. in der Datenbank über MySQL vorgenommen.
Newsletter
Ich habe lange hin und her überlegt, ob ich den Newsletter behalte oder doch abschaffe. Für die Abschaltung sprach der Aufwand der Anpassung (ich hatte unter jedem Blogpost manuell ein Signup-Formular eingefügt) und dass ich meine Abonnenten um ein erneutes Optin bitten musste. Letzteres hat sich am Ende jedoch als falsch herausgestellt. Nachdem ich selbst von Anwälten Mails bekam, die besagten, dass ein erneutes Optin nicht nötig sei, wenn die Mails-Adressen per Double Optin gesammelt wurden, war meine Entscheidung gefallen: Der Newsletter bleibt.
Ich habe dann folgende Änderungen vorgenommen:
- Anpassung des Signup-Textes – dort weise ich jetzt auf Tracking, Speicherung und alles, was sonst noch interessant ist, hin
- Anpassung des ganzen Signup-Prozesses – das läuft jetzt alles über eine Signup-Seite. Damit werde ich zwar wahrscheinlich weniger Anmeldungen haben, bin dafür aber auf der sicheren Seite
- Auftragsverarbeitungsvertrag (AVV) mit meinem Serviceanbieter Mailchimp
Edit 2022: Ich bin mittlerweile auf den deutschen Anbieter sendinblue umgestiegen.
Daten beim Hoster
Mein Hoster ist All-Inkl. Dieser bietet einen Auftragsverarbeitungsvertrag (AVV) im Backend an, den ich einfach akzeptieren musste. Das ging mit einem Klick. Ich bin außerdem Managerin of Marketing & Sales bei der 2AIM GmbH. Leider ist der Hoster der GmbH nicht All-Inkl, sondern HostEurope. Dort war das nicht ganz so einfach, weil man den Vertrag ausfüllen und angeben musste, welche Daten genau auf der Website verarbeitet werden. Diesen Vertrag musste man dann per Post oder E-Mail zurück an Host Europe schicken. Du musst also schauen, wie das bei deinem Hoster funktioniert.
Datenschutzerklärung
Die Datenschutzerklärung muss entsprechend angepasst werden. Ich habe dafür den Generator der Deutschen Gesellschaft für Datenschutz verwendet. Allerdings bin ich die Datenschutzerklärung danach auch noch durchgegangen und habe sie angepasst. Sie ist nicht genauso vom Generator erzeugt worden.
Social Media Anbindung
Ich hatte bisher tatsächlich gar keine Social Sharing Buttons, nachdem ich vor Jahren mal gelesen hatte, dass es mit den meisten Plugins Probleme bezüglich Datenschutz gibt. Allerdings weiß ich mittlerweile, dass ein Plugin wirklich konform war und auch nach Inkrafttreten der DSGVO weiterhin ist: Das Plugin heißt Shariff. Seit letzter Woche ist es auf meinem Blog installiert und aktiviert. Ab jetzt findest du also Buttons unter meinen Blogposts, mit denen du meine Beiträge in den sozialen Medien teilen kannst.
Kontaktformular
Beim Kontaktformular habe ich kurzen Prozess gemacht. Ja, es wurde immer mal wieder verwendet. Aber da ich lieber auf Nummer Sicher gehen wollte, habe ich die Kontaktseite komplett umgebaut und das Kontaktformular einfach entfernt.
Wenn du deines behalten willst, musst du zwei Punkte beachten:
- Du MUSST deine Seite über https laufen lassen
- Dieser Punkt ist etwas strittig, aber: Du benötigst eigentlich eine Checkbox, die besagt, dass du die Daten speicherst. Dies sollte eigentlich das Plugin erledigen, das auch die Checkbox bei den Kommantfeldern hinzufügt. Da das bei mir aber nicht geklappt hat, fiel mir die Entscheidung am Ende ganz leicht, das Kontaktformular zu entfernen.
Gravatar
Gravatar ist der Service, bei dem zum Beispiel Bilder von dir hinterlegt werden, die dann neben deinem Namen angezeigt werden, wenn du kommentierst. Dieser Service ist bei WordPress per Default erst einmal aktiviert. Du kannst ihn aber mit einem Klick ausschalten. Gehe einfach zu Einstellungen -> Diskussion -> Avatar. Wenn du dort die Checkbox anklickst, ist Gravatar aktiv.
Du kannst übrigens dein Konto bei Gravatar nicht löschen. Ich habe ihnen extra geschrieben, aber mehr als deaktivieren geht momentan leider nicht.
Emojis
Ähnlich einfach ging das mit den Emojis. Du gehst einfach bei Einstellung auf Schreiben und entfernst dort das Häkchen beim Punkt „Emoticons in Grafiken umwandeln“.
Und falls auch du dich fragst, was denn bitte an Emoticons so schlimm ist: Wenn sie als Grafiken angezeigt werden, müssen diese von irgendwo geladen werden. Diese sind nämlich NICHT auf dem Server installiert, sondern liegen auf externen Servern. Da dabei Daten übertragen werden, ist dies nicht mehr erlaubt.
Zum Glück geht diese Änderung wirklich schnell.
Google-Produkte
Google ist ein amerikanischer Anbieter und daher grundsätzlich mit den neuen Gesetzen zum Datenschutz nicht zu vereinbaren.
Fonts
Schriftarten sind nicht bei WordPress hinterlegt und auf dem eigenen Server gespeichert, sondern werden per Default von Google geladen. Ich frage mich, ehrlich gesagt, wer auf diese glorreiche Idee gekommen ist. Außerdem kann ich mir nicht vorstellen, dass WordPress dafür langfristig keine eigene Lösung zur Verfügung stellt. Am Anfang hatte ich das über das Plugin Divi DSGVO gelöst, das das Laden der Schriften von Google unterbindet und man dann einfach durch Anklicken der entsprechenden Fonts diese auf den Server lädt. Theoretisch sollte dies auch für eine bessere Ladezeit sorgen. Da dies aber nicht geschehen ist und das Plugin auch sonst nichts gemacht hat, habe ich auch dieses wieder deinstalliert und eine Plugin-freie Lösung angewandt.
Bei meinem Theme DIVI kann ich Schriftarten einfach im Builder hochladen.
Youtube-Videos
Mit dem Thema Youtube-Videos habe ich mich garantiert zwei Wochen rumgeschlagen. Das Problem ist, dass durch die Einbindung von Videos über Youtube Daten zwischen Youtube und dem Blog übertragen werden, OHNE dass der Leser davon weiß. Mein erster Ansatz war daher, alle Videos durch Textlinks zu ersetzen. Das war bei über 200 Videos auf meinem Blog eine echte Herausforderung. Nach gut drei Tagen habe ich dann gelesen, dass man wohl auch einfach einen Zusatz nocookie in den embed Link hinzufügen kann. Am besten geht man dafür nochmal auf die Sharing Option in Youtube selbst und klickt das Kästchen „erweiterte Datenschutzeinstellung“ an. Dann wird dieser Zusatz automatisch in den Link intgriert. Ich dachte, ich sei auf der sicheren Seite, wenn ich die Links einfach ersetze. Pustekuchen.
Kurz darauf habe ich in einem Forum auf Facebook gelesen, dass ein Freund von mir, Anwalt mit Spezialisierung in Onlinerecht, dazu rät, zusätzlich ein Optin-Popup zu verwenden. Also eine Box, die erscheint, wenn auf der entsprechenden Seite Videos eingebunden sind, bei der der Leser anklicken muss, dass er das Video sehen möchte und weiß, dass dabei eine Verbindung zu Youtube hergestellt wird. Denn keine Cookies heißt anscheinend nicht gleichzeitig, dass keine Daten übertragen werden. Meine neue Lösung als zusätzliche Absicherung gegen Abmahnungen war die Verwendung des Plugins Borlabs.
Allerdings hat mich auch dieses Plugin gestört, sodass ich mich am Ende dazu entschlossen habe, alle Videos runterzunehmen und durch einfache Textlinks zu ersetzen. Keine Videos, keine Probleme…
Maps
Ähnlich wie mit den Youtube-Videos verhält es sich mit Karten. Denn jede Karte stellt eine Verbindung zu einem Server her, da diese Daten nie auf dem eigenen Server liegen. Ich habe mein eigenes Plugin gecheckt und tatsächlich eine Google Maps Schnittstelle gefunden. Ärgerlich! Auch dafür habe ich erst Borlabs verwendet. Denn die Karte auf meiner Startseite wollte ich gerne behalten. Alle anderen hatte ich gleich rausgeworfen.
Nachdem ich aber die Youtube-Videos gelöscht habe, war dann der nächste Schritt, mich auch von der Karte zu trennen. Schade, aber better safe than sorry.
Analytics
Auch Analytics war eine never ending story. Das Thema habe ich mir sowieso bis ganz zum Schluss aufbewahrt.
Zunächst habe ich mich für die Lösung entschlossen, Borlabs mit der Optin-Funktion zu verwenden. Aber nachdem ich dann so gut wie keine Möglichkeit mehr hatte, meine Besucherzahlen zu tracken, und mich die Box auf meinem Blog einfach nur genervt hat, habe ich beschlossen, dass es Zeit für was Neues ist: Piwik bzw. Matomo heißt die Lösung, die man auf dem eigenen Server installieren kann, sodass keine Daten an Third Parties weitergeleitet werden. Damit bin ich aktuell sehr zufrieden und hoffe, dass das so bleibt.
Emails
Vor 1,5 Jahren habe ich einen großen Fehler gemacht. Ich habe mich falsch beraten lassen und angefangen, meine Mails, die eigentlich von meinem Hoster All-Inkl sind, über Gmail laufen zu lassen. Das sei einfacher zu handeln als Outlook, was ich bis dahin genutzt hatte. Tja, eigentlich gab es die DSGVO zu diesem Zeitpunkt sogar schon. Nur hat sich damals keiner drum geschert. Sonst hätte ich das niemals so gelöst. Denn Gmail ist NICHT DSGVO-konform! Die Alternative von Google lautet GSuite. Dieser Business Account kostet 8 Euro im Monat und ist aus Datenschutzsicht ok. Zumindest wenn man davon absieht, dass Google ein amerikanisches Unternehmen ist und das ja eben auch nicht wirklich perfekt ist.
Ich bin also mit all meinen Mail-Adressen zu G Suite umgezogen. Allerdings konnte ich nicht einfach alle Adressen importieren, sodass ich nun alte Mails meiner Hauptadresse nicht in meinem Postfach habe. Demnach kann ich auch nicht nach ihnen suchen oder an Kontakte vor dem Import automatisch Mails schreiben. Das wichtige war für mich jedoch erstmal, dass ich über alle meine Adressen aus der G Suite Mails schreiben und empfangen kann. Das andere Probleme wollte ich zeitnah angehen.
Auch das ist mittlerweile geschehen. Ich empfange jetzt alle meine Postfächer über den Mail Client von Apple und nutze keinen Drittanbieter mehr.
Cloudspeicher
Gleiches gilt für den Cloudspeicher. Ich verwende Google Drive und bisher hatte ich einfach einen Account, zu dem ich 1 GB Speicherplatz hinzugekauft habe. Auch dieser einfache Account ist nicht DSGVO-konform. Daher verwende ichdafür nun meinen G Suite Account, der zum Glück alle Google Produkte umfasst. Jegliche Unternehmensdaten (inklusive Backups meiner Websites) müssen ab jetzt über den Drive Account laufen, der mit meiner G Suite verbunden ist. Das klingt erstmal nach wenig Aufwand, aber dummerweise gab es auch hier Probleme. Ich habe etwa einen Arbeitstag gebraucht, um diese zu lösen und habe nun endlich alle meine Websites mit dem neuen Cloudspeicher verbunden.
Übrigens: Solltest du zum Versenden von großen Datenmengen Drittanbieter wie WeTransfer verwenden, brauchst du theoretisch einen AVV. Ich habe WeTransfer ehrlich gesagt so gut wie nie genutzt. Ich mache das für gewöhnlich so, dass ich Fotos, Videos oder Dokumente in meiner Google Drive Cloud speichere und dann die entsprechenden Ordner teile. Dann brauchst du auch keinen zusätzlich AVV.
Verarbeitungsverzeichnis
Auch das Verarbeitungsverzeichnis habe ich bis zum Schluss aufbewahrt. In diesem Verzeichnis musst du alle Prozesse auflisten, in deren Zuge du Daten speicherst. Dazu gehören zum Beispiel Kommentare auf dem Blog, E-Mails und der Newsletter. Das Verarbeitungsverzeichnis muss auf Wunsch vorgezeigt werden.
Datenschutzerklärung (und Impressum) auf der Login-Seite
Nun ist außerdem Pflicht, auf der Login-Seite für das Backend eine Datenschutzerklärung zu haben. Mittlerweile kann man das ganz bequem in WordPress einstellen und diese wird dann automatisch angezeigt. Allerdings muss da für uns Deutsche noch zusätzlich das Impressum hin. Dafür musst du leider noch Änderungen im Code vornehmen. Ist aber alles kein Hexenwerk und jetzt findet sich beides auf meiner Login-Seite.
HTTPS über All-Inkl
Wer das Sicherheitszertifikat von Anfang an über den eigenen Hoster hat laufen lassen, muss an dieser Stelle nichts tun. Ich hatte es jedoch über CloudFlare, einen amerikanischen Anbieter. Dieser bietet zwar noch weitere Vorteile als nur das Sicherheitszertifikat, aber ich wollte mich gezielt von möglichst vielen Drittanbietern trennen und nicht zu viele AVV abschließen. Vor allem wenn diese in den USA sitzen, was hier wieder der Fall ist. Also habe ich alle Nameserver bei All-Inkl (geht einfach per Mail – das Support Team übernimmt das dann) zurückstellen lassen und dann das kostenlose Sicherheitszertifikat Let’s Encrypt aktiviert. Dieser Service von All-Inkl ist wirklich super. Einziger Nachteil: Ab jetzt wird meine Seite nur noch aus Deutschland geladen. Von deutschen Servern. Datenschutztechnisch ist das super. Für meine Ladezeit ist es jedoch eine Katastrophe, da CloudFlare Server auf der ganzen Welt hat und immer die nächsten Server verwendet werden. Wenn du also aus Australien auf Barbaralicious zugreifst, wurde der Blog bisher von australischen Servern geladen, während heute alles direkt aus Deutschland kommt.
Plugins
Du solltest alle deine Plugins überprüfen und schauen, welches von ihnen Daten überträgt und wo das Plugin herkommt. Ist es von einem amerikanischen Anbieter und es überträgt Daten, solltest du es schleunigst deinstallieren und für DSGVO-konformen Ersatz sorgen. Am besten schaust du dafür hier vorbei: 300+ Plugins im DSGVO-Check.
Fotos
Ein weiterer Irrsinn, in meinen Augen, ist, dass Fotos nun keine Personen mehr zeigen dürfen AUSSER du hast ein DSGVO-konformes Model Release mit ihnen abgeschlossen. Kleine Anmerkung am Rande: Die DSGVO sieht jedoch auch vor, dass dieses Einverständnis jederzeit zurückgezogen werden kann. Ein Model Release bedeutet also nicht zwangsläufig, dass du das Foto für immer verwenden kannst. Grund für die Regelung ist, dass du ab jetzt ganz generell jederzeit der Verarbeitung deiner Daten widersprechen darfst. Und dazu zählen eben auch Fotos.
Ich bin jetzt sehr froh, dass ich schon lange dazu übergegangen bin, Wartezeiten in Kauf zu nehmen, um Fotos ohne Menschen schießen zu können. Selbst auf belebten Plätzen in Berlin kann man es schaffen zum Beispiel zum Sonnenaufgang den Ort menschenleer vorzufinden. So mancher Blogger hat mich ausgelacht oder gesagt, dass dies nicht die wahre Stimmung an dem Ort wiederspiegelt. Mir war das zum Glück immer egal.
Noch ein paar Anmerkungen dazu:
- Fotos, die vor dem 25. Mai 2018 entstanden sind, brauchst du NICHT vom Blog / von deinen Kanälen zu nehmen. Zumindest sieht es aktuell nicht danach aus.
- Wenn du dich jetzt freust, dass du gut im photoshoppen bist, muss ich dich enttäuschen. Theoretisch ist es sogar nicht mehr erlaubt, Fotos mit Menschen darauf zu machen. Es geht also nicht ausschließlich um die Veröffentlichung des Materials. Die einzige Alternative wären analoge Fotos, die keine Daten (zb. Geotags) speichern.
Fazit
Ich habe viel gejammert, seit ich mit den Änderungen für die DSGVO angefangen habe. Nicht nur, weil ständig irgendwas Neues kam und gemachte Änderungen wieder hinfällig waren. Oder weil jeder etwas anderes sagt und man oft nicht weiß, woran man ist. Ich habe vor allem viel gejammert, weil ich mich wirklich mit den technischen Hintergründen auseinander setzen wollte. Das bedeutete, dass ich an Kleinigkeiten teilweise Tage gesessen habe. Und das ist zu Lasten meiner „Produktivität“ gegangen. Kein Blogpost, kein neues E-Book kam in den letzten Wochen heraus. Das ändert und normalisiert sich jetzt hoffentlich.
Ein durchaus positiver Nebeneffekt ist jedoch, dass ich meinen Blog nun so gut kenne wie nie zuvor. Ich muss zwar immer noch viel lernen, aber steter Tropfen höhlt ja bekanntlich den Stein.
Newsletter