Auch bei meinem Hobby-Blog muss ich mich wohl oder übel mit der DS-GVO beschäftigen.
Wie ich die Sache angegangen bin, welche Veränderungen ich am Blog vorgenommen habe und wie es z.B. mit Google Analytics weitergeht, erfahrt ihr im Folgenden.
Zudem blicke ich natürlich wieder auf aktuelle Rankings und die Besucherzahlen meines Blogs.
Die DS-GVO und mein Hobby-Blog
Als erstes stellt sich natürlich die Frage, ob es überhaupt nötig ist, bei einem Hobby-Blog die DS-GVO zu beachten und umzusetzen.
Leider betrifft diese Verordnung so gut wie jede Website und auch jeden Blog. Sobald in irgendeiner Form personenbezogene Daten erhoben und verarbeitet werden, greift diese Verordnung. Und da die IP-Adresse laut Gerichtsurteil auch zu den personenbezogenen Daten gehört, muss man sich damit beschäftigen.
Bei einem Blog fallen aber noch anderen Daten an, wie z.B. der Name und die eMail-Adresse in den Kommentaren. Deshalb habe ich auch meinen Brettspiel-Blog hinsichtlich der DS-GVO analysiert und anschließend angepasst.
Wie ich dabei vorgegangen bin, erfahrt ihr im Folgenden.
Hinweis:
Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden.
Analyse
Im ersten Schritt habe ich die Analyse meines Blogs durchgeführt. Dabei bin ich diverse Punkte durchgegangen.
So habe ich z.B. die Gelegenheit genutzt und ein wenig aufgeräumt. Ich habe einige Plugins deaktiviert und gelöscht, die nicht zwingend notwendig sind. Zudem habe ich geprüft, ob die verwendeten Plugin datenschutzrechtlich okay sind.
Des Weiteren habe ich mir die Datenbank vorgenommen und veraltete Tabellen gelöscht. Das waren vor allem Tabellen von Plugins, die ich schon gelöscht hatte, die aber ihren “Dreck” nicht selbst aufgeräumt haben.
Zudem habe ich die Datenbank nach IP-Adressen und anderen personenbezogenen Daten durchsucht. Aber auch nach eingebetteten Links (Twitter) und JavaScript bzw. iFrames, wie z.B. vom Amazon Partnerprogramm. Ich habe in allen meinen Blogs versucht jegliche iFrames und Scripte zu entfernen, die nicht wirklich nötig sind. Mit Hilfe des Plugin AAWP kann ich aber dennoch Amazon PartnerNet Links, Bilder und sonstige Infos einbinden, ohne dass ein Cookie gesetzt wird.
Anschließend ging es zu den Einstellungen von WordPress selbst. Hier habe ich die Gravatar-Funktion deaktiviert und mit Hilfe des Plugins Autoptimize auch die Emojis deaktiviert.
Übrigens hat WordPress gerade eine neue Beta-Version mit brandneuen DS-GVO Funktionen veröffentlicht. Das ist allerdings recht spät, bedenkt man, dass die DS-GVO in gut 10 Tagen in Kraft tritt.
Eine weitere wichtige Änderung war die lokale Speicherung der Google Fonts. Diese wollte ich nicht mehr über den Google Server einbinden. Das Plugin Autoptimize entfernt diese Einbindung sehr zuverlässig und über die Site google-webfonts-helper.herokuapp.com/fonts kann man sich die benötigten Schriftarten herunterladen und bekommt auch noch gleich den notwendigen CSS-Code zur lokalen Einbindung.
In Zukunft weiter nutzen wollte ich aber YouTube-Videos. Für diese nutze ich die Einbetten-Funktion von WordPress. Mit Hilfe des Codes von dieser Seite habe ich dafür gesorgt, dass diese Videos über die Domain youtube-nocookie.com eingebunden werden, was zumindest verhindert, dass Cookies gesetzt werden.
Um Google AdSense musste ich mich hier nicht kümmern, da ich diese Einnahmequelle hier nicht nutze.
Am Ende habe ich mit dem Tool webbkoll.dataskydd.net und dem Browser-Addon Ghostery getestet, ob wirklich nur noch Google Analytics und der VG Wort Pixel drin sind.
Cookies oder nicht Cookies?
Eine grundlegende Entscheidung war, ob ich gänzlich auf Cookies verzichte, wie ich es bei einer meiner Nischenseiten getan habe.
Das ist schon ein sehr extremer Weg, den ich hier aber nicht gehen wollte. Zum einen möchte ich weiterhin die VG Wort Zählpixel nutzen und die verwenden ein Session-Cookie. Zum anderen würde ich nur ungern auf Google Analytics verzichten. Weitere Cookies sollten in Zukunft aber nicht mehr gesetzt werden.
Verzeichnis der Verarbeitungstätigkeiten
Zur Umsetzung der DS-GVO gehört auch ein Verzeichnis der Verarbeitungstätigkeiten. Darin hält man fest, welche Daten man sammelt und was damit geschieht.
Da ich ein gemeinsames Verzeichnis für meine Selbstständigkeit aufgebaut habe und nicht für jede/n Website/Blog einen eigenen Verzeichnis-Eintrag benötige, war hier nicht viel zu tun.
Den DS-GVO-gerechten Auftragsverarbeitungs-Vertrag (AV, wurde früher ADV genannt) mit Mittwald hatte ich ebenfalls bereits abgeschlossen, was übrigens sehr bequem online machbar war.
Zudem gibt es ein TOM-Dokument mit den technischen und organisatorischen Maßnahmen und ein Auskunft- und Löschkonzept. Auch diese habe ich bereits niedergeschrieben, da sie für mein gesamten Business gelten.
Datenschutzerklärung
Mit einem gewissen Aufwand war die Erstellung der neuen Datenschutzerklärung verbunden. Die bisherige enthielt auch schon viele der notwendigen Informationen, aber die DS-GVO fordert noch mehr Details. So z.B. jeweils eine Angabe der rechtliche Grundlage, also welcher Punkt aus der DS-GVO genau gilt und warum.
Da man diese Datenschutzerklärung als Laie nicht selber erstellen kann, habe ich den kostenpflichtigen Generator von e-recht24.de genutzt. Dort gibt es auch einen kostenlosen, aber da fehlen ein paar Dinge. Das Ergebnis habe ich dann noch ein wenig angepasst, aber größtenteils so gelassen.
Für normale Hobby-Blogger ist der kostenlose Datenschutz-Generator sehr zu empfehlen. Leider ist die kostenpflichtige Version aber viel zu teuer, wenn man eine Vielzahl an Websites besitzt.
Eine Sache war ebenfalls etwas aufwändiger. Den DS-GVO Hinweis beim Kommentar-Feld konnte ich zuerst nicht mit dem WP GDPR Compliance Plugin umsetzen. Bei allen anderen Blogs hat das funktioniert, aber hier machte offentsichtlich das verwendete Theme Probleme. Nach ein wenig Recherche und Analyse habe ich es per CSS geschafft die Checkbox samt Hinweistext anzeigen zu lassen.
Wie sicher fühle ich mich?
Es geht so. Ich bin ein sehr praktischer Mensch, der normalerweise keine Perfektion braucht. Aber im Bereich “Recht” ist das etwas anders. Hier möchte ich schon sicherstellen, dass es keinen Ärger gibt. Leider ist bei Gesetzen vieles Auslegungssache und aktuell weiß noch keiner so genau, wie die DS-GVO von den Gerichten ausgelegt wird.
Hört man sich z.B. diesen Podcast an, dann merkt man, wie unsicher sich selbst Anwälte sind, was genau nötig ist und was nicht.
Dennoch habe ich bei meinem Blog alles gemacht, was mir sinnvoll möglich und wirtschaftlich vertretbar war.
Einzig der Einsatz von Google Analytics ist noch offen. Leider haben sich die Datenschutz-Landesämter vor kurzem so positioniert, dass kein Website-Tracking ohne Opt-In möglich ist. Das widerspricht allerdings den bisherigen Aussagen der meisten Anwälte und selbst die Datenschützer waren diesbzüglich ja schon mal nachsichtiger, gerade was Google Analytics angeht.
Zudem gibt diese strenge Auslegung die DS-GVO gar nicht her. Schließlich sind Statistiken ein starkes Interesse seitens der Website-Betreiber und mit IP-Anonymisierung, AV-Vertrag mit Google und Opt-Out-Möglichkeit sollte das eigentlich okay sein.
Es wird spannend, wie das nach dem 25.5. dann weitergeht. Ich “freue” mich schon auf die ersten Gerichtsentscheidungen diesbezüglich. Vor allem wenn wieder unterschiedliche Gerichte verschiedene Dinge entscheiden.
Aber soweit bin ich mit der DS-GVO Anpassung meines Blogs erstmal zufrieden.
Habt ihr die DS-GVO Anforderungen für eure Website umgesetzt?
- Nein, aber vor dem 25.5.2018 schaffe ich das. (23%, 102 Stimmen)
- Ja, aber so ganz sicher bin ich mir nicht. (21%, 96 Stimmen)
- Teilweise. (20%, 91 Stimmen)
- Nein und das werde ich auch nicht mehr pünktlich schaffen. (17%, 77 Stimmen)
- Ich schalte meine Website ab. (14%, 65 Stimmen)
- Ja, und ich fühle mich nun sicher. (4%, 18 Stimmen)
Teilnehmerzahl: 449 (max. 1 Stimmen)
Rankings und Traffic
Nach diesem nicht so schönen Thema, kommen wir doch lieber wieder zu den wirklich interessanten Dingen. Auch diesmal möchte ich wieder auf Rankings und Traffic blicken.
In Google hat sich etwas getan. Für “brettspiele” stehe ich laut XOVI aktuell auf Position 3 und für “brettspiel” auf 4, wobei es hier auch immer wieder Schwankungen gibt. Dennoch ist es gut zu wissen, dass für diese wichtigen Keywords nach weiter oben noch was möglich ist.
Entsprechend positiv hat sich der OVI-Wert entwickelt. Dieser zeigt an, wie gut die Website insgesamt in Google dasteht. Die 2 Punkte Marke hat der Blog mittlerweile überschritten.
Das gute Wetter der letzten Wochen habe ich beim Traffic gemerkt. Trotz besserer Rankings ging dieser teilweise ein wenig zurück. Allerdings habe ich letzte Woche wieder das gute Niveau des April erreicht, was mich sehr zuversichtlich stimmt. Im Herbst sollte es dann bei schlechterem Wetter wieder deutlich nach oben gehen.
Aktuell sind es rund 2.300 Sitzung von Google pro Woche. Ingesamt (also auch Social Media und direkter Traffic) waren es im April 11.641 Sitzungen und 19.765 Seitenaufrufe. Das ist etwas weniger als im bisherigen Rekord-Monat März, was aber, wie schon geschrieben, vor allem dem Wetter anzurechnen ist.
So geht es weiter
Nächsten Monat werde ich mich in meiner Case Study dem Thema Motivation widmen. Wie war es am Anfang und wie hat sich diese im Verlauf der gut 18 Monate seit dem Start entwickelt.
Bis dahin.
- Danke für 16 tolle Jahre - 13. Juli 2023
- So erstellst du deine erste Newsletter-Mail in 10 Schritten mit CleverReach - 13. Juli 2023
- Die 5 besten Features des Amazon Affiliate WordPress Plugin – AAWP - 12. Juli 2023
Hallo Peer,
wie schaffst du es, Amazon-Bilder ohne Übermittlung der IP-Adresse des Besuchers einzubinden? Speichern darf man sie laut Richtlinien ja auch nicht.
Wie nimmst du andernfalls den Punkt mit den IP-Adressen in deine Datenschutzerklärung auf? Fällt ja eigentlich nicht unter den Punkt Cookies, oder?
Anja
Gar nicht. Die Amazon Bilder werden aktuell noch vom Amazon-Server eingebunden. Das ist technisch aber aktuell auch nicht anders möglich.
In wie weit ich das in meine Datenschutzerklärung aufnehme ist die Frage, die ich leider auch noch nicht ganz beantwortet habe. Der Entwickler von AAWP arbeitet an einer Lösung für das Problem und ich hoffe, dass diese bis zum 25.5. da ist.
Die Lösung von aawp ist es, die Bilder von Amazon auf den eignen Server zu laden und dann von dort auszuliefern. Dort werden die Bilder alle 24 Stunden erneuert/gelöscht.
Das erscheint mir nicht optimal. Zumal über die API nur die URL’s zu den Produktbildern bereitgestellt wird. Das wird schon seinen Grund haben.
Soweit ich weiß, war das mal eine Idee, aber von Amazon so nicht erlaubt.
Er arbeitet nun an einer anderen Lösung, die das Bild auch über den Server, aber on the fly und nur für die eine Seitenanzeige lädt. Also nicht speichert.
Ok, mal schauen, wie sich das auf die Ladezeiten auswirkt.
Evtl. verstehe ich das Problem nicht, bzw DSGVO falsch. Der Entwickler und Anbieter von Gravatar ist doch unter dem Privacy Shield zertifiziert. Damit darf ich doch personenbezogene Daten an eben jenen übermitteln? Bzw. werden bei Gravatar doch sowieso “nur” pseudonymisierte Daten übertragen?
Bei Amazon das gleiche: Auch Amazon hat eine Privacy Shield Zertifizierung. Wenn Amazon nicht mehr aus Europa genutzt werden dürfte (wir denken nur mal an AWS) wäre das für viele Firmen ein enormes Problem.
Natürlich müss trotzt des Privacy Shield Abkommens in der Datenschutzerklärung über die Anbindung informiert werden.
Das heißt aber nicht, dass man keine vorherige Einwilligung einholen muss von jedem einzelnen Website-Besucher. Wären diese Firmen nicht unter dem Privacy Shield, dürfte man dort gar keine personenbezogenen Daten hin übermitteln.
Der Punkt ist, dass entweder eine Einwilligung der betroffenen Person vorliegen muss oder diese zumindest die Möglichkeit des Opt-Outs haben muss. Inklusive das Recht auf Auskunft, Berichtigung und Löschung. Und genau da wird es ein Problem. Wie soll ich z.B. bei Gravatar das Opt-Out umsetzen? Wie die Rechte sicherstellen?
Dann entferne ich es lieber.
In Sachen Checkbox möchte ich auf den Podcast eines auf IT-Recht spezialisierten Anwaltes hinweisen, der die Checkbox für überflüssig und riskant hält:
https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/
Schöner Podcast, Anwälte sind also auch genervt.
Er hat einen sehr angenehmen und “menschlichen” Standpunkt dazu, aber leider habe ich von anderen Juristen auch ganz andere Dinge gehört. Er gibt ja selber zu, dass alles Ansichtssache ist. Nicht umsonst spricht er oft von “wahrscheinlich” oder “von seiner Meinung”.
Ich bin jemand, der genau wissen will, wie etwas zu machen ist. Leider ist es im Recht oft so und beim DS-GVO im Besonderen, dass vieles Auslegungssache ist, weil es noch keine Gerichtsentscheidungen dazu gibt. Leider weiß derzeit niemand, was am Ende die Gerichte bzgl. der DS-GVO entscheiden.
Also muss aktuell jeder für sich entscheiden, was sinnvoll und notwendig ist. Das betrifft auch die Checkboxen.
Auf eventuelle Lockerungen und übertriebene Handlungen würde ich mich nicht verlassen. Den eigenen Anwalt zahlt man immer zuerst selber, wenn es zu Abmahnungen kommt, auch wenn man gewinnt. Und manchmal bekommt man das Geld nicht wieder, wenn man es nicht selber wiederum einklagt. Bereits bei einem Schriftstück alleine können 200 Euro verloren gehen, nur weil man reagieren und sich wehren muss, wenn man abgemahnt wird. Liebe Grüsse.
Hallo Peer,
ich verfolge die ganze DS GVO Sache glaube ich recht aufmerksam. Ein paar Kleinigkeiten müssen noch erledigt werden.
Was hällst du von Plug-Ins wie WP Youtube light. Damit wird das Video erst bei einem Klick geladen und selbst das Thumbnail kann man lokal speichern lassen. Der weitere Vorteil ist die Lazy Load Funktion.
LG
Ich könnte mir bei solchen Plugins z.B. vorstellen, dass Google nicht mehr erkennt, dass da ein Video eingebettet ist und das der SEO des Artikels schadet.
Aber grundsätzlich ist es sicher keine schlechte Idee, wenn man ganz sicher gehen will. Ich habe zumindest die Einbindung aller Videos über die youtube-nocookie.com URL vorgenommen, was für mich aktuell ausreicht.
Man wird, wie bei vielen anderen Dingen, in Zukunft sehen müssen, was okay ist und was nicht.
Hallo Peer,
ich habe zwei Fragen zu der Art und Weise, wie du YouTube Videos einbindest:
1. worin besteht der Unterschied zu dem klassischen Einbetten mit “erweiterten Datenschutz aktivieren”?
2. der nocookie code, wird dieser zentral ein einer bestimmten Stelle eingebunden oder bei jedem einzelnen Video?
Antwort zu 2. hab ich gerade gelesen: Muss in die functions.php des Child Theme kopiert werden. Wer lesen kann, ist klar im Vorteil…
Eine Antwort/ Hilfe zu 1. wäre super.
Beste Grüße und Vielen Dank
Sebastian
zu 1) Im Grunde ist es dasselbe. Ich mache das nur automatisch über ein Snippet, da ich nicht alle bisherigen Video-Einbindungen von Hand in meinem Blog ändern will. Aber das Ergebnis ist dasselbe.
Hallo Peer,
vielen Dank für den Hinweis mit nocookie für Youtube. Ich habe den Code nun in die function.php eingetragen.
1. Ist es hier egal an welcher Stelle der Code eingetreagen wird?
2. Wie kann man kontrollieren, ob mit dem Code alle bisherigen Videos erfolgreich umgeleitet werden?
Ich habe teilweise Videos nur normal über den Link, nicht über embedded eingefügt und sehe jetzt nicht, ob der Code greift.
Vielen Dank für alle bisherigen Infos zur DSGVO.
Hallo Mathias,
zu 1) Ja, es ist egal, wo in der functions.php der Code eingetragen wird. Aber beachte, wenn dein Theme ein Update erhält, könnte es sein, dass auch die functions.php überschrieben wird. Alternativ kann ich deshalb das Plugin WP Snippets empfehlen.
zu 2) Wenn der Code bei einem Video funktioniert, dann funktioniert er bei allen, die normal über den Link eingebetten wurden.
Bei meinem Test habe ich aber gerade festgestellt, dass der Code nur bei der normal einbetteten URL funktioniert und nicht, wenn du den iframe-Code von YouTube genutzt hast. Diesen musst du manuell ändern oder durch die einfache URL ersetzen.
Hallo Peer,
danke für die schnelle Antwort. Ich habe es über die functions.php im child theme gemacht.
Wie genau hast du getestet, ob der Code bei den jeweiligen Links funktioniert. Ich würde es gerne bei meiner Seite nachvollziehen.
Dankeschön
Du kannst dir einfach von einem embed-Video den Code anschauen. Einfach im Firefox markieren und auf “Auswahl-Quelltest anzeigen” klicken. Dann siehst du, dass dort youtube-nocookie.com verwendet wird.
Aber es macht natürlich keinen Sinn jedes einzelne Video zu kontrollieren. Wenn der Code bei einem Video funktioniert, dann funktioniert er bei allen, die über die einfache URL eingebunden wurden.
Hallo Peer,
vielleicht ist mir das entgangen, aber ich nutze statt Google Analytics bereits seit Jahren “Jetpack”. Gibt es hier etwas zu beachten? Eine Klausel in der Datenschutzerklärung?
Ansonsten bin ich glaube ganz gut vorbereitet. Nur hierzu sind die Infos spärlich.
Gruß Martin
… und DANKE für die massigen Infos 😉
Mein letzter Stand bzgl. des Jetpack-Plugins ist, dass man es nicht nutzen sollte. Da gehen die Daten auch in die USA und die bieten weder einen Auftragsverarbeitungs-Vertrag an noch erfolgt die Erfassung anonymisiert. Beides ja Gründe, warum Google Analytics noch gerade so erlaubt ist.
Aber das sind meine Infos von vor längerer Zeit. Ob Jetpack inzwischen erlaubt ist, weiß ich nicht. Ich lasse da lieber die Finger von.
Ich stimme Peer zum Punkt JETPACK vollkommen zu, nach meinem aktuellen Wissensstand sollte man Jetpack wirklich nicht mehr nutzen.
Ich bedaure das sehr, hat Jetpack doch unendlich viele Vorteile. (Auch wenn das Plugin schon recht überladen ist). Aber ich habe von allen Nischenseiten jetzt Jetpack entfernt und folge damit dem Rat zahlreicher Fachleute, die aktuell zur Fragestellung “Jetpack” in Foren referieren.
Ich lasse so wie du lieber die Finger davon und bedanke mich für die ergänzenden Infos:
Ich habe viele Tipps in diesem Beitrag gleich umgesetzt.
Momentan habe ich noch keine Idee, wie man Amazon-/eBay-/oder andere AffiliateTrackings ausschalten könnte, ohne ganz darauf zu verzichten.
Der Hinweis darauf in der Datenschutzerklärung ist aber wahrscheinlich wenigstens eine kleine Absicherung. Ungern verzichte ich auf diese wunderschönen Plugins wie ASA2 oder EAPI…diese erzeugen jedoch ein Tracking, wie man schnell herausfinden kann.
Liebe Grüße
joergmichael
Hall Peer,
danke für den Link zum nocookie-Snippet. Das hat mir noch gefehlt. 😉
Ich bin auch schon tierisch gespannt, wie sich die Welt nach dem 25ten weiter dreht. Vor allem darauf, welche Gerichte/Anwälte welche Passagen wie auslegen und welche einer ganz anderen Ansicht sind. Es bleibt auf jeden Fall spannend.
Hallo Peer,
darf man die Texte von E-Recht24 auch noch nutzen, wenn man seine Mitgliedschaft dort beendet hat?
Viele Grüße
Franz
So weit ich weiß ja. Man kann die Datenschutzerklärung dann halt nicht mehr aktualisieren.
Hallo Peer,
Hast du Erfahrungen mit dem ‚the 7‘ Theme Bzw würdest du es für eine Affiliate Seite empfehlen ? Oder was wäre dein Theme Tipp für einen kompletten Affiliate Anfänger.
Danke schon mal 🙂
Lg Niklas
Ich hatte es mir schon mal angeschaut und es bietet natürlich viele Features. Mir ist es aber zu überladen. Ich mag eher schlichtere Themes, wo ich selber die Funktionen hinzufügen kann, die ich haben will.
Hallo Peer,
nutzt du weiterhin das Plugin WP GDPR Compliance? Oder bist du nach der Schwachstelle in dem Plugin (https://www.heise.de/security/meldung/Schwerwiegendes-Schwachstelle-in-DSGVO-Plugin-fuer-WordPress-4217962.html) gewechselt?
Ich nutze zurzeit das Plugin WP DSGVO Tools (GDPR). Bin aber mit der Bedienung nicht so recht zufrieden. Irgendwie alles sehr unübersichtlich.
VG und einen guten Rutsch
Sebastian
Es gab ja zeitnah Updates für das Plugin. Sonst wäre ich auch gewechselt.
Hallo Peer,
eine Frage, wie hast du die Einbettung des YT-Videos hier umgesetzt: https://www.abenteuer-brettspiele.de/brettspiele/pandemic-untergang-roms-review ?
Die Lösung ist einfach super!
VG
Sebastian
Mit diesem Plugin:
https://de.wordpress.org/plugins/video-embed-privacy/