DSGVO-Leitfaden für Blogger
Über die EU-Datenschutz Grundverordnung gibt es zahlreiche Artikel, Checklisten und Handlungsanweisungen. Doch was davon betrifft die Blogsphäre? Wir haben uns erkundigt und die wichtigsten Fragen, die Blogger beschäftigen beantwortet.
Wie umfassend muss Datenschutz auf meiner Website präsentiert werden? Reicht es, wenn ich die Datenschutzerklärung zum Impressum schreibe?
- Vorweg, weil diese Frage häufig gestellt wird: Nahezu jede Website muss eine Datenschutzerklärung aufweisen! Auch private Liebhaber- oder Fanseiten. Blogs sind dabei natürlich miteingeschlossen. Zur Datenschutzerklärung, ja, sie muss umfassend und dazu allgemein verständlich sein.
- Die Datenschutzerklärung ist mit der DSGVO etwa so zu handhaben, wie das Impressum, d.h. sie muss von jeder Unterseite Ihres Webauftritts anklickbar sein. Es ist erlaubt die Datenschutzerklärung zum Impressum zu schreiben. Wir empfehlen eine eigene Seite zu erstellen, da der Link zu Ihrer Datenschutzerklärung eindeutig beschriftet werden und aus Usersicht übersichtlich sein muss.
Eine ausführliche Datenschutzerklärung umfasst:
- Allgemeine Hinweise zum Datenschutz
- Technische Hinweise (z.B.: Server-Logfiles)
- Hinweis auf Cookies
- Umgang mit den personenbezogenen Daten
- Betroffenenrechte (Recht auf Auskunft, Richtigstellung und Löschung)
- wenn zutreffend Abo-Optionen einer Website
- wenn zutreffend Hinweis auf Nutzung von Tracking Tools
- wenn zutreffend Einbindung eines Social Media Plugins
Gibt es Datenschutzerklärungs-Generatoren für Österreich?
Es gibt derzeit leider keine brauchbaren kostenlosen Datenschutz-Generatoren für Österreich. Im Zweifelsfall sollten Sie selbst eine Datenschutzerklärung zusammenstellen oder vom Profi zusammenstellen lassen.
Google Analytics und ähnliche Tools sammeln eine Menge personenbezogener Daten, um das Verhalten der Websitenutzer zu analysieren. Darf Google Analytics überhaupt noch verwendet werden?
Ja, Google Analytics darf weiterhin verwendet werden! Aber: Man muss die Anonymisierungsfunktion einschalten, damit die IP-Adressen bis auf die letzten 3 Zahlen verschleiert werden. Außerdem müssen Sie, damit Sie das Tool datenschutzkonform einsetzen, mit Google Inc. einen Auftrag zur Datenverarbeitung abschließen. Das ist relativ unkompliziert, in Österreich reicht es, den Vertrag in elektronischer Form einzugehen. Vergessen Sie aber auf jeden Fall nicht darauf in Ihrer Datenschutzerklärung zu erwähnen, dass Sie Google Analytics verwenden. Und erwähnen Sie selbstverständlich auch, welche Daten gesammelt werden.
Wie sieht es mit Tracking-Software aus?
Verwenden Sie eine Tracking-Software (z.B.: Google Analytics, Piwick, WebTrekk) müssen Sie die Nutzerprofile entweder anonymisieren oder pseudonymisieren. Zu pseudonymisieren ist aber in der Praxis sehr kompliziert. Sie haben zwar immer noch die Möglichkeit personalisierte Profile anzulegen, aber dafür müssen Sie die Einwilligung des Nutzers bekommen und ihn über den Zweck informieren. Und das noch bevor der Nutzer etwas auf Ihrer Seite gemacht hat. Außerdem muss der Nutzer die Möglichkeit haben jederzeit in dieses Profil einzusehen und verbindlich zu widerrufen. Diese Datenerhebung müssen Sie wiederrum protokollieren. Aus diesen Gründen empfehlen wir die Nutzerprofile zu anonymisieren.
Muss ich ein Verarbeitungsverzeichnis führen?
Ja, das ist gesetzlich vorgeschrieben und falls die Datenschutzbehörde anklopft, müssen Sie es vorweisen können. Denn als Blogger werden Sie Webanalysen durchführen, eventuell eine Kommentarfunktion haben oder Newsletter versenden. Das gilt dann rechtlich als regelmäßige Datenverarbeitung, wofür die DSGVO ein Verfahrensverzeichnis verlangt.
Immer wieder hört man von der Problematik mit WordPress und der DSGVO. Kann ich WordPress nun verwenden oder sollte ich mich lieber nach einem anderen CMS umsehen?
Jein. Mittlerweile gibt es ein GDPR Compliance Plugin (Anm.: GDPR = General Data Protection Regulation), allerdings hilft Ihnen dieses Plugin nur einige Anforderungen umzusetzen.
Sie als Blogger sind auf jeden Fall Betreiber der Seite, deshalb sind auch Sie persönlich haftbar! Es gibt jedoch Möglichkeiten den Datenschutz auch mit WordPress zu wahren. Man kann beispielsweise die standardmäßige Gravatar-Verknüpfung in der Kommentarfunktion deaktivieren. Damit verhindern Sie, dass die IP-Adresse an die Gravatar-Server übertragen wird.
Eine andere Option ist zum Beispiel das Plugin „RemoveIP“ zu nutzen. Dieses Plugin verhindert die Speicherung von IP-Adressen in den Kommentaren. Wollen Sie außerdem beim Hosting ganz auf Nummer sicher gehen, dann empfehlen wir einen europäischen Hostinganbieter zu wählen
Viele Blogger verwenden Social Media Plugins. Sind diese unter der DSGVO noch erlaubt?
Man muss sich jedes Plugin von Fall zu Fall ansehen – eine allgemein gültige Aussage kann man hier leider nicht treffen. Es gibt zum Beispiel noch keine anerkannte rechtssichere Methode den Facebook-Like Button einzubinden. Unser Tipp: lassen Sie hier lieber Vorsicht als Nachsicht walten. In den nächsten Monaten wird diesbezüglich noch einiges klargestellt. Einstweilen empfehlen wir, diese Plugins zu deaktivieren.
In Deutschland wird der Einsatz des Facebook-Pixels in Hinblick auf den Datenschutz als problematisch angesehen. Wie sieht es damit in Österreich aus?
Das Facebook-Pixel darf man verwenden, allerdings müssen Sie das selbstverständlich in Ihrer Datenschutzerklärung angeben und dazu, welche Daten Facebook von Ihren Usern sammelt. Laut WKO ist diese Angabe eine Mindestanforderung. Wir raten die Nutzung des Facebook-Pixels in den Cookies-Hinweis einzubinden. Wenn Sie einen Anbieter, wie beispielsweise Mailchimp verwenden, müssen Sie mit diesem außerdem einen Auftragsdatenverarbeitungsvertrag abschließen.
Wie verhält es sich mit Newslettern?
Es ändert sich nicht sehr viel, die Datenschutz Grundverordnung gibt dafür keine klare Anweisungen. In Österreich greift hier das Telekommunikationsgesetz. Wir empfehlen ein Double-Opt-in (Anm.: Bestätigungsnachricht mit Verifizierungslink), damit haben Sie eine nachweisbare Einwilligungserklärung.
Abschließend kann man sagen: sehen Sie die DSGVO nicht als Bürde. Zwar mag es jetzt mühsam erscheinen alles umzusetzen, aber die durch die Datenschutz Grundverordnung entstehende Transparenz schafft auch eine Vertrauensbasis zwischen Ihnen und Ihren Lesern und die Möglichkeit Ihre Daten gründlich aufzuräumen.
Welche konkreten Schritte müssen Blogger nun setzten? Wir haben das hier für Sie zusammengefasst:
- Update der Privacy Policy (Datenschutzerklärung)
- Cookie-Hinweis einbinden
- Einverständniserklärung auf Seite einbinden
- Social Media Plugins allenfalls deaktivieren
- Recht auf Auskunft/Recht auf Änderung/ Recht auf Löschung: Dafür Abläufe festlegen
- Opt-out Möglichkeit für Nutzer, wenn Facebook-Pixel verwendet wird
- Double-Opt-in für Newsletter
- Verarbeitungsverzeichnis führen
Noch ein Tipp: Stellen Sie Ihre Seite auf HTTPS (HyperText Transfer Protocol Secure) um. Auf diese Weise gewähren Sie eine Ende zu Ende Verschlüsselung. Sämtliche Daten, die zwischen dem Server Ihrer Seite und dem Browser Ihrer Nutzer ausgetauscht werden, sind damit geschützt. Außerdem werden Sie mit einer HTTPS verschlüsselten Seite von Google höher geranked. Es zahlt sich also aus.
Brauchen Sie Hilfe die DSGVO in Ihrem Unternehmen umzusetzen? Wir unterstützen Sie bei der Umsetzung in nur 5 Schritten. Sie können im Prüfungsfall nachweisen, welche Schritte Sie gesetzt haben, um der DSGVO zu entsprechen. Unser Team arbeitet mit der Kanzlei PHH Rechtsanwälte zusammen und bietet umfassende Beratung zur neuen Datenschutz-Rechtslage sowie Unterstützung bei der technischen und organisatorischen Umsetzung der DSGVO. Kontaktieren Sie uns noch heute!