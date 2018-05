Auch bei meinem Hobby-Blog muss ich mich wohl oder übel mit der DS-GVO beschäftigen.

Wie ich die Sache angegangen bin, welche Veränderungen ich am Blog vorgenommen habe und wie es z.B. mit Google Analytics weitergeht, erfahrt ihr im Folgenden.

Zudem blicke ich natürlich wieder auf aktuelle Rankings und die Besucherzahlen meines Blogs.

Die DS-GVO und mein Hobby-Blog

Als erstes stellt sich natürlich die Frage, ob es überhaupt nötig ist, bei einem Hobby-Blog die DS-GVO zu beachten und umzusetzen.

Leider betrifft diese Verordnung so gut wie jede Website und auch jeden Blog. Sobald in irgendeiner Form personenbezogene Daten erhoben und verarbeitet werden, greift diese Verordnung. Und da die IP-Adresse laut Gerichtsurteil auch zu den personenbezogenen Daten gehört, muss man sich damit beschäftigen.

Bei einem Blog fallen aber noch anderen Daten an, wie z.B. der Name und die eMail-Adresse in den Kommentaren. Deshalb habe ich auch meinen Brettspiel-Blog hinsichtlich der DS-GVO analysiert und anschließend angepasst.

Wie ich dabei vorgegangen bin, erfahrt ihr im Folgenden.

Hinweis:

Da ich kein Anwalt bin, handelt es sich bei den folgenden Ausführungen um meine persönliche Meinung und meine eigenen Erfahrungen. Es handelt sich nicht um eine Rechtsberatung. Falls konkrete Fragen oder Probleme auftauchen, sollte man sich an einen Anwalt wenden*.

Analyse

Im ersten Schritt habe ich die Analyse meines Blogs durchgeführt. Dabei bin ich diverse Punkte durchgegangen.

So habe ich z.B. die Gelegenheit genutzt und ein wenig aufgeräumt. Ich habe einige Plugins deaktiviert und gelöscht, die nicht zwingend notwendig sind. Zudem habe ich geprüft, ob die verwendeten Plugin datenschutzrechtlich okay sind.

Des Weiteren habe ich mir die Datenbank vorgenommen und veraltete Tabellen gelöscht. Das waren vor allem Tabellen von Plugins, die ich schon gelöscht hatte, die aber ihren „Dreck“ nicht selbst aufgeräumt haben.

Zudem habe ich die Datenbank nach IP-Adressen und anderen personenbezogenen Daten durchsucht. Aber auch nach eingebetteten Links (Twitter) und JavaScript bzw. iFrames, wie z.B. vom Amazon Partnerprogramm. Ich habe in allen meinen Blogs versucht jegliche iFrames und Scripte zu entfernen, die nicht wirklich nötig sind. Mit Hilfe des Plugin AAWP kann ich aber dennoch Amazon PartnerNet Links, Bilder und sonstige Infos einbinden, ohne dass ein Cookie gesetzt wird.

Anschließend ging es zu den Einstellungen von WordPress selbst. Hier habe ich die Gravatar-Funktion deaktiviert und mit Hilfe des Plugins Autoptimize auch die Emojis deaktiviert.

Übrigens hat WordPress gerade eine neue Beta-Version mit brandneuen DS-GVO Funktionen veröffentlicht. Das ist allerdings recht spät, bedenkt man, dass die DS-GVO in gut 10 Tagen in Kraft tritt.

Eine weitere wichtige Änderung war die lokale Speicherung der Google Fonts. Diese wollte ich nicht mehr über den Google Server einbinden. Das Plugin Autoptimize entfernt diese Einbindung sehr zuverlässig und über die Site google-webfonts-helper.herokuapp.com/fonts kann man sich die benötigten Schriftarten herunterladen und bekommt auch noch gleich den notwendigen CSS-Code zur lokalen Einbindung.

In Zukunft weiter nutzen wollte ich aber YouTube-Videos. Für diese nutze ich die Einbetten-Funktion von WordPress. Mit Hilfe des Codes von dieser Seite habe ich dafür gesorgt, dass diese Videos über die Domain youtube-nocookie.com eingebunden werden, was zumindest verhindert, dass Cookies gesetzt werden.

Um Google AdSense musste ich mich hier nicht kümmern, da ich diese Einnahmequelle hier nicht nutze.

Am Ende habe ich mit dem Tool webbkoll.dataskydd.net und dem Browser-Addon Ghostery getestet, ob wirklich nur noch Google Analytics und der VG Wort Pixel drin sind.

Cookies oder nicht Cookies?

Eine grundlegende Entscheidung war, ob ich gänzlich auf Cookies verzichte, wie ich es bei einer meiner Nischenseiten getan habe.

Das ist schon ein sehr extremer Weg, den ich hier aber nicht gehen wollte. Zum einen möchte ich weiterhin die VG Wort Zählpixel nutzen und die verwenden ein Session-Cookie. Zum anderen würde ich nur ungern auf Google Analytics verzichten. Weitere Cookies sollten in Zukunft aber nicht mehr gesetzt werden.

Verzeichnis der Verarbeitungstätigkeiten

Zur Umsetzung der DS-GVO gehört auch ein Verzeichnis der Verarbeitungstätigkeiten. Darin hält man fest, welche Daten man sammelt und was damit geschieht.

Da ich ein gemeinsames Verzeichnis für meine Selbstständigkeit aufgebaut habe und nicht für jede/n Website/Blog einen eigenen Verzeichnis-Eintrag benötige, war hier nicht viel zu tun.

Den DS-GVO-gerechten Auftragsverarbeitungs-Vertrag (AV, wurde früher ADV genannt) mit Mittwald* hatte ich ebenfalls bereits abgeschlossen, was übrigens sehr bequem online machbar war.

Zudem gibt es ein TOM-Dokument mit den technischen und organisatorischen Maßnahmen und ein Auskunft- und Löschkonzept. Auch diese habe ich bereits niedergeschrieben, da sie für mein gesamten Business gelten.

Datenschutzerklärung

Mit einem gewissen Aufwand war die Erstellung der neuen Datenschutzerklärung verbunden. Die bisherige enthielt auch schon viele der notwendigen Informationen, aber die DS-GVO fordert noch mehr Details. So z.B. jeweils eine Angabe der rechtliche Grundlage, also welcher Punkt aus der DS-GVO genau gilt und warum.

Da man diese Datenschutzerklärung als Laie nicht selber erstellen kann, habe ich den kostenpflichtigen Generator von e-recht24.de* genutzt. Dort gibt es auch einen kostenlosen, aber da fehlen ein paar Dinge. Das Ergebnis habe ich dann noch ein wenig angepasst, aber größtenteils so gelassen.

Für normale Hobby-Blogger ist der kostenlose Datenschutz-Generator sehr zu empfehlen. Leider ist die kostenpflichtige Version aber viel zu teuer, wenn man eine Vielzahl an Websites besitzt.

Eine Sache war ebenfalls etwas aufwändiger. Den DS-GVO Hinweis beim Kommentar-Feld konnte ich zuerst nicht mit dem WP GDPR Compliance Plugin umsetzen. Bei allen anderen Blogs hat das funktioniert, aber hier machte offentsichtlich das verwendete Theme Probleme. Nach ein wenig Recherche und Analyse habe ich es per CSS geschafft die Checkbox samt Hinweistext anzeigen zu lassen.

Wie sicher fühle ich mich?

Es geht so. Ich bin ein sehr praktischer Mensch, der normalerweise keine Perfektion braucht. Aber im Bereich „Recht“ ist das etwas anders. Hier möchte ich schon sicherstellen, dass es keinen Ärger gibt. Leider ist bei Gesetzen vieles Auslegungssache und aktuell weiß noch keiner so genau, wie die DS-GVO von den Gerichten ausgelegt wird.

Hört man sich z.B. diesen Podcast an, dann merkt man, wie unsicher sich selbst Anwälte sind, was genau nötig ist und was nicht.

Dennoch habe ich bei meinem Blog alles gemacht, was mir sinnvoll möglich und wirtschaftlich vertretbar war.

Einzig der Einsatz von Google Analytics ist noch offen. Leider haben sich die Datenschutz-Landesämter vor kurzem so positioniert, dass kein Website-Tracking ohne Opt-In möglich ist. Das widerspricht allerdings den bisherigen Aussagen der meisten Anwälte und selbst die Datenschützer waren diesbzüglich ja schon mal nachsichtiger, gerade was Google Analytics angeht.

Zudem gibt diese strenge Auslegung die DS-GVO gar nicht her. Schließlich sind Statistiken ein starkes Interesse seitens der Website-Betreiber und mit IP-Anonymisierung, AV-Vertrag mit Google und Opt-Out-Möglichkeit sollte das eigentlich okay sein.

Es wird spannend, wie das nach dem 25.5. dann weitergeht. Ich „freue“ mich schon auf die ersten Gerichtsentscheidungen diesbezüglich. Vor allem wenn wieder unterschiedliche Gerichte verschiedene Dinge entscheiden.

Aber soweit bin ich mit der DS-GVO Anpassung meines Blogs erstmal zufrieden.

Rankings und Traffic

Nach diesem nicht so schönen Thema, kommen wir doch lieber wieder zu den wirklich interessanten Dingen. Auch diesmal möchte ich wieder auf Rankings und Traffic blicken.

In Google hat sich etwas getan. Für „brettspiele“ stehe ich laut XOVI* aktuell auf Position 3 und für „brettspiel“ auf 4, wobei es hier auch immer wieder Schwankungen gibt. Dennoch ist es gut zu wissen, dass für diese wichtigen Keywords nach weiter oben noch was möglich ist.

Entsprechend positiv hat sich der OVI-Wert entwickelt. Dieser zeigt an, wie gut die Website insgesamt in Google dasteht. Die 2 Punkte Marke hat der Blog mittlerweile überschritten.

Das gute Wetter der letzten Wochen habe ich beim Traffic gemerkt. Trotz besserer Rankings ging dieser teilweise ein wenig zurück. Allerdings habe ich letzte Woche wieder das gute Niveau des April erreicht, was mich sehr zuversichtlich stimmt. Im Herbst sollte es dann bei schlechterem Wetter wieder deutlich nach oben gehen.

Aktuell sind es rund 2.300 Sitzung von Google pro Woche. Ingesamt (also auch Social Media und direkter Traffic) waren es im April 11.641 Sitzungen und 19.765 Seitenaufrufe. Das ist etwas weniger als im bisherigen Rekord-Monat März, was aber, wie schon geschrieben, vor allem dem Wetter anzurechnen ist.

So geht es weiter

Nächsten Monat werde ich mich in meiner Case Study dem Thema Motivation widmen. Wie war es am Anfang und wie hat sich diese im Verlauf der gut 18 Monate seit dem Start entwickelt.

Bis dahin.