Die Berichterstattung zur DSGVO ist von Panikmache geprägt. Manch einer will schon die digitalen Brocken hinschmeißen. Was WordPress-Seitenbetreiber beachten müssen, zeige ich dir im folgenden Beitrag.
DSGVO: Wir werden alle sterben
Manchmal gehen mir meine Kollegen wirklich auf den Geist. Wem ist damit geholfen, die ab dem 25. Mai 2018 vollumfänglich in Kraft tretende Datenschutz-Grundverordnung der EU (DSGVO) in einer Weise darzustellen, dass es den Lesenden Angst und Bange wird? Gern wird das Millionen-Bußgeld in den Titel des Beitrags gehoben. Das generiert natürlich Klicks. Aber es generiert auch Panik.
Neben den Medien befleißigen sich auch die bloggenden Vertreter der rechtsberatenden Zunft bisweilen eines Tons, der dem unbescholtenen Seitenbetreiber infernalische Bilder vom Ende seiner eigenen wirtschaftlichen Existenz vors innere Auge projiziert.
In beiden Fällen hilft es, sich die Frage zu stellen: Cui Bono? Wem zum Vorteil? Da erklären sich reißerische Formulierungen auf einmal ganz von selbst.
DSGVO: Kein Grund zur Panik
Wenn du dich indes unaufgeregt über die DSGVO und ihre Auswirkungen auf Seitenbetreiber informieren willst, dann empfehle ich dir meinen Beitrag im Mittwald-Blog. Der hieß ursprünglich “Die DSGVO ist nicht der Untergang der Welt”, was der Panikmache mal einen nicht weniger alarmistischen Widerpart entgegensetzen sollte. Verständlich, dass Mittwald lieber den weniger reißerischen Titel “Gut organisiert und vorbereitet stellt die DSGVO kein Problem dar!” wählte.
So oder so. Fakt ist, dass die DSGVO Änderungen in der Art und Weise, wie wir die Daten unserer Nutzer erheben und verarbeiten, erforderlich macht. Dennoch sind wir in Deutschland vergleichsweise minimal betroffen, weil wir mit unseren nationalen Datenschutznormen ohnehin schon recht weit vorne dabei waren. So ist vieles, was die DSGVO nun bringt, maximal eine detailliertere Klarstellung bereits gültiger Grundsätze.
Die größte Angst, die den Seitenbetreiber umtreibt, dürfte natürlich die vor dem 20 Millionen Euro schweren Bußgeld sein. Webworker, Freelancer, Agenturen und auch Otto Normalseitenbetreiber brauchen sich eher nicht vor den Summen zu fürchten – selbst bei Verstößen, die man natürlich vermeiden will und soll, muss es nicht gleich an die Existenz gehen. Der entsprechende Artikel 83 der DSGVO formuliert dazu, dass „die Verhängung von Geldbußen […] in jedem Einzelfall wirksam, verhältnismäßig und abschreckend” sein muss. Einen Mindestbetrag für das zu erhebende Bußgeld setzt die Verordnung nicht fest.
Schon bislang lag der Bußgeldrahmen bei bis zu 300.000 Euro. Und, ich weiß ja nicht, wie deine Finanzen so aussehen, aber in meinem Falle wäre es von der Wirkung her schon jetzt das Todesurteil gewesen, hätte man mir die Maximalstrafe aufgedrückt.
Als Seitenbetreiber bist du seit etlichen Jahren mit dem Thema der „Datenschutzerklärung” mehr oder weniger vertraut. Diese wird durch die DSGVO in ihrer Bedeutung aufgewertet und bedarf mehr Ausführlichkeit. Damals waren es insbesondere die Cookies, die den Unmut der Datenschützer auf sich zogen.
Zu eben jenen und anderen kleinteiligeren Regelungsbedarfen erwarten wir in den nächsten Monaten noch die ergänzende ePrivacy-Verordnung, zu der bislang jedoch noch keine Beschlüsse vorliegen. Es liegt durchaus im Bereich des Denkbaren, dass die ePrivacy-Verordnung die größere praktische Relevanz für den durchschnittlichen Seitenbetreiber entfalten wird. Jetzt darüber zu schreiben, wäre allerdings nichts als Kaffeesatzleserei.
DSGVO: Ein einfacher Grundsatz, der nicht ganz so einfach ist
Nach der DSGVO ist die Verarbeitung von Daten dann zulässig, wenn diese Verarbeitung rechtmäßig ist. Klingt simpel, muss aber eben für jeden Fall geprüft und entschieden werden.
Anders als bisher brauchst du nun für jeden Fall der externen Datenverarbeitung einen Vertrag zur Auftragsverarbeitung (sog. AV-Vertrag). Das betrifft Google, wenn du Analytics verwendest, aber auch deinen Provider, der ja letztlich für dich die Daten verarbeitet. Gleiches gilt für alle andere externen Datenverarbeiter, die du auf deiner Seite im Einsatz hast. Sei es der Newsletter-Dienstleister, der Anti-Spam-Dienst, der Kommentar-Service, die Backup-Lösung, der Shop-Anbieter und was du sonst noch so für Services nutzt, die nicht nur auf deinem Webspace abgewickelt werden, sondern für die externes Processing genutzt wird.
WordPress und die DSGVO: Spezifische Probleme des populären CMS
Im letzten Absatz habe ich schon kurz angerissen, wieso WordPress ein besonders aufmerksames Auge erfordert. Anders als bei einer homogenen Website aus gutem alten HTML, die wir mehr oder weniger monolithisch in Code meißeln, basieren unsere WordPress-Seiten auf einem ganzen Ökosystem an Komponenten.
Lässt sich die Kerninstallation noch ganz gut hinsichtlich ihrer DSGVO-relevanten Probleme definieren, stellt jedes Plugin und jedes Theme und jedes Widget ein Problem eigener Art dar. Denn du weißt nicht, ob der Programmierer deines Scroll-to-Top-Plugins seinen besonderen Wissensdurst mit Blick auf die Nutzer seines Plugins durch den Transfer einiger Transaktionsdaten stillen möchte. Und ob es dem Anbieter deines tollen und noch dazu kostenlosen Themes nicht ähnlich geht.
Du weißt es nicht, aber du trägst die Verantwortung. Keine Sorge, ich will dir wirklich keine Angst machen. Ich will nur, dass du dir dessen bewusst bist, damit du erkennst, dass du den Zustand so nicht lassen kannst.
Automattic arbeitet an Einstellungen > Privatsphäre
Wieso ich, magst du jetzt fragen. Das ist doch wohl in allererster Linie mal ein Problem vom WordPress-Hersteller Automattic und den Entwicklern aus dem Öko-System. Damit hast du natürlich Recht und es ist auch nicht so, dass sich Automattic aus der Verantwortung stehlen will.
Sicherlich ein bisschen spät, aber immerhin sind die Erfinder des WordPress auf die Idee gekommen, dass es innerhalb von WordPress eine eigene Übersicht zur Privatsphäre braucht. Diese soll sich künftig als Menüpunkt unter dem Hauptmenüeintrag „Werkzeuge” zeigen. Bislang gibt es da noch nichts zu sehen. Angekündigt sind die entsprechenden Änderungen für Ende April, Anfang Mai. Gut, wir haben jetzt die erste Maiwoche hinter uns. Geduld ist eine Tugend…
Wenn es denn also die angekündigten Tools des Hauses Automattic gibt, dann wirst du in der Lage sein, über die zentrale Übersichtsseite DSGVO-relevante Nutzeraktivitäten zu sehen. Zudem erhältst du die Möglichkeit, Anfragen von Nutzern, etwa zum Download ihrer Daten oder zur Anonymisierung zu bearbeiten.
Plugin-Entwickler, die ganz eigenständig zur Einhaltung der DSGVO verpflichtet sind, werden künftig in strukturierter Form beschreiben, welche Datenschutz-relevanten Vorgänge sie mitbringen, so dass du diese Informationen in deiner neuen Datenschutzerklärung verarbeiten kannst. Eventuell wirst du auch mit dem Plugin-Entwickler einen AV-Vertrag schließen müssen.
Plugin-Entwickler dürfen sich beim konformen Umbau ihrer Lösungen der Hilfe von Automattic erfreuen, die ihr bereits bestehendes Plugin-Handbook um Informationen zu DSGVO und den neuen WordPress-Funktionen zur Privatsphäre erweitern werden.
Bis einer heult: Schmeiß nicht gleich deine Plugins weg
Bevor du also nun deinen gesamten Plugin-Bestand überprüfst und mit Tränen in den Augen deine Lieblingsplugins wegwirfst, empfehle ich dir, noch ein bisschen zu warten. Automattic ist noch nicht so weit und die Plugin-Entwickler zumeist auch nicht. Es ist aber davon auszugehen, dass sich die bedeutenden Anbieter durch die DSGVO nicht die Butter vom Brot nehmen lassen.
So liest du etwa derzeit, dass du den Newsletter-Service von Mailchimp besser nicht mehr verwenden solltest, weil ja die Verarbeitung auf US-Servern stattfindet und dabei jedenfalls personenbezogene Daten verarbeitet werden. Der zweite Teil des Satz stimmt unstreitig. Den ersten Teil des Satzes würde ich nicht unterschreiben.
Denn, ich schrieb es weiter oben schon, Datenverarbeitung ist dann zulässig, wenn sie rechtmäßig ist. Dass die Datenverarbeitung zur Versendung eines Newsletters rechtmäßig ist, wenn die Nutzer sich freiwillig in der vorgeschriebenen Form (Double Opt-In) eingetragen haben, daran hätte ich erstmal keinen Zweifel.
Möglich ist eher, dass dabei derzeit Informationen im Spiel sind, die nicht notwendigerweise für die konkrete Verarbeitung erforderlich sind. An diesem Punkt ist die DSGVO strikt. Du darfst nur noch solche Daten erheben, die du für die konkrete Verarbeitung auch benötigst. Im Falle eines Newsletters dürfte das der Name und die E-Mail-Adresse sein, aber nicht mehr. Schon die IP-Adresse wäre in dem Fall kritisch. Und tatsächlich. Wenn du dich umschaust, wird sehr häufig die Verarbeitung der IP-Adresse als das kritische Element dargestellt.
Sogar Google Analytics ist unter dem Aspekt der DSGVO relativ unkritisch, wie mein Kollege Jan Meyer in einem eigenen ausführlichen Beitrag darstellen konnte. Wichtig ist, darauf zu achten, dass keine personenbezogenen Daten, also letztlich die IP-Adressen, an GA übertragen werden.
DSGVO: Vor Gericht und auf hoher See
Wenn du auf der vollkommen unangreifbaren Seite stehen willst, dann installierst du das Plugin Google Analytics Opt-Out von WP-Buddy. Dieses erlaubt dir, einen Opt-Out-Button per Shortcode einzubinden. Klickt ein Nutzer diesen Button, wird ein Cookie installiert, der Analytics daran hindert, seine Bewegungsdaten zu erfassen.
Ha. Wieso schreibt er was von „vollkommen unangreifbar”? Ist da vielleicht doch ein Haken im Feuer, mit dem man mir ordentlich das Fell versengen kann? Das hast du doch jetzt gedacht, oder?
Klar, es ist wie immer in der Juristerei. Vor Gericht und auf hoher See sind wir alle in Gottes Hand. Die DSGVO wird erst über die Rechtsprechung der kommenden Jahre wirklich rundgeschliffen werden. Vorher müssen wir qualifiziert bewerten und auch das ein oder andere Risiko eingehen, wenn unsere Bewertung desselben so ausgegangen ist, dass wir das können. Da kommen wir alle nicht dran vorbei. Auch hier dürfen wir allerdings davon ausgehen, dass es wirtschaftliche Schwergewichte gibt, die etwa bestehende Klärungsbedarfe relativ zügig zum Gegenstand rechtlicher Auseinandersetzungen machen werden. Das müssen wir beide nicht tun, aber wir profitieren vom Ausgang.
Dutzende wichtige Plugins sind bereits jetzt DSGVO-konform
Wenn du heute am Tag deinen Plugin-Bestand durchforsten und auf DSGVO-Compliance trimmen willst, dann schau dir diesen Beitrag bei Blogmojo an. Dort findest du bereits über 120 Plugins im ausführlichen Check.
Auch der Beitrag auf Blogmojo zeigt, dass Panik nicht erforderlich ist, denn in den zwölf untersuchten Plugin-Kategorien, von SEO über Anti-Spam zu Social Media, findest du stets mehrere Alternativen, die voll DSGVO-konform sind oder durch die Änderung einzelner Optionen konform gemacht werden können.
Die Zahl derer, die konform sind oder durch Einstellungen konform gemacht werden können, wird in den kommenden Wochen noch sprunghaft steigen. Wieso sich immer erst kurz vor knapp alle Akteure bequemen, lange gültige Gesetze dann doch mal endlich umzusetzen, ist dabei eine berechtigte Frage. Aber, du hast es doch nicht anders gemacht…
Übrigens: Was du auf jeden Fall machen solltest, wenn du es noch nicht getan hast, und das kannst du auch jetzt sofort erledigen, ist, deine Seite auf HTTPS umstellen. Denn für die Sicherheit des Transports der von dir erhobenen und verarbeiteten Daten bist du auch verantwortlich. Mit Let’s Encrypt kostet dich die Umstellung auf SSL nicht einmal etwas.
Disclaimer: Frag den Anwalt
Da ich kein Jurist bin, ist dieser Beitrag natürlich keine Rechtsberatung und soll eine solche auch nicht ersetzen. Wenn du eine Auskunft vom Anwalt willst, dann musst du einen solchen aufsuchen. Cui bono 😉
(Bildnachweis Artikelbild: Depositphotos)
26 Kommentare zu “WordPress: So setzt du als Seitenbetreiber die DSGVO um”
Danke für den interessanten Artikel zur DSGVO. Ich hätte hierzu noch eine Ergänzung:
Vor ein paar Tagen hat der Europäische Rat übrigens eine Korrektur zu Artikel 25 Abs. 2 Satz 1 der DSGVO veröffentlicht und das Wort “grundsätzlich” entfernt. Dadurch darf die Angabe des Namens nur noch als freiwilliges Feld erhoben werden. Lediglich die Email-Adresse verbleibt als Pflichtfeld.
Das ist eigentlich nur konsequent.
Hi Chris,
ich hatte gelesen, dass es von der Rechtsmeinung her sogar strittig ist, ob der Name überhaupt noch zu den Daten gehört, die für einen funktionierenden Newsletter benötigt werden.
Das würde dazu führen, dass (worst case) wirklich nur noch die E-Mail abgefragt werden darf und Persönliche Anrede oder gar dynamische Inhalte nach Interessensgebieten der Geschichte angehören. (In meinen Augen wäre das eine grenzwertig bescheuerte Entwicklung).
Ich vermute eher, dass es darauf hinaus läuft, dass der Name als freiwillige Angabe bleiben darf. (Und hoffe es)
Wo wir wirklich landen werden, werden erst die ersten Urteile zeigen. Das Glück für uns Kleinere: Die Abmahn-Hyänen werden sich vermutlich erst mal auf die lohnenden Brocken werfen 😉
Beste Grüße und fröhliches “Fit machen” der Seite,
Holger.
Wie viele andere Webseitenbesitzer, so beschäftigt mich auch dieses Thema schon länger.
Ich sehe auch viel Panikmache im Web. Angst vor der Datenschutzbehörde brauchen die wenigsten zu haben.
Mehr Sorgen macht mir allerdings die Abmahnmafia die sich sicherlich schon die Hände reibt. Da bin ich aktuell sehr unsicher inwieweit die das ausnützen können um ihren Reibach zu machen.. In der Vergangenheit war das ja leider oft auch der Grund für die Zerstörung von Existenzen.
Die immense Arbeit, die wg. der DSGVO auf ALLE zukommt, kann man nicht auf den Einsatz von konformen Plugins oder gar sog. ang. “Datenschutz-Plugins” reduzieren.
Selbst wann man, wie ich seit über einem Jahr alle erreichbaren Kurse zT. absolvierte, alle Infos ansehe, befolge uvam. es ist nur ein kratzen an der Oberfläche: Denn der Teufel steckt im Detail.
Es gibt so viele Kombinationen an Stolperfallen, allein zT. Website (von den internen Abläufen bei Vereinen u. Firmen ganz zu schweigen)
Hier, auf Dr. Web gehts ja um die öffentliche Wahrnehmung, um die Website. Und allein diese abdichten, ist sehr viel mehr Arbeit als hier dargestellt. Schaut euch eine durchschnittliche Site an, oder eure, echt großartige Site: Wer abmahnen will, findet auf der bestens abgesicherten, mit 10 Datenschutz-Erklärungen, Cookie-Bannern und was weiß ich noch wie zugenagelten Site 100e “Verstöße”.
Allein all die immer schon geltenden Gesetze bez. Medienrecht, Urheberrecht uä. bekommen durch diese Neuausrichtung des Datenschutzes eine brisante Kombination. Wer jene 100-ig % auslegt (und kein Medienprivileg wie wir in AT) hat, kann die Site dicht machen.
Denn ab dem 25 braucht keiner mehr ein Foto, Namen oder gar beides kombiniert ohne schriftliches Einverständnis der abgebildeten/beschriebenen publizieren, auch nicht Besuchermassen eines Konzerts, etc. Das ist nur eins von vielen Beispielen.
Ist die Site auch in DE “wahrnehmbar”, nützt auch einem österr. Sitebetreiber dieses nationale Medienprivileg nichts.
Sicher, die Panikmache mit Hilfe dieser Mondzahlen an Strafhöhen ist ungeeignet, diese Fälle werden so nicht eintreten. Weder 300k noch in Mio Höhe werden kleine Blogger uä. verurteilt – doch auch die üblichen Abmahnungen zw. ein paar Hunderter und etlichen Tausend Euros tun weh!
Und die Hyänen werden kommen!
Nennt mich einen Panikmacher – aber ich weiß genau – sie werden bei uns aufschlagen – wie bisher noch alle Bildspinnen und Abmahnanwälte hier waren.
Ok, in AT sagt man “Ach mir egal, in Österreich wird das nicht so arg sein …” Doch das große Jammern wird noch folgen … (sa. oben “.. in DE wahrnehmbar”)
Datenschutz ist wichtig – aber auch mit digitalen Hausverstand lösbar, braucht keinen überbordenden Regulierungswahn, schon gar nicht von der EU. Denn diese Regeln schützen Otto Normalbürger nicht, der liest sich weder AGB´s noch Datenschutzerklärungen durch.
Diese Regeln treiben die Kleinen zum Wahnsinn und lassen die Großen Datenmissbrauchs-Konzerne kalt.
Ich kenne genug Sitenbetreiber, die nun aufgeben, weil sie diese DSGVO in ihrer Tragweite erkennen und ahnen, dass sie es weder bis zum 25. schaffen – noch irgendwann später. Denn das vorher abdichten ist eine Sache, einen brauchbaren Betrieb trotz aller dieser Schikanen aufrecht zu halten, eine andere.
Und sollte man es bis zum 25. schaffen – die nächsten Anschläge der Eurokraten lauern längst. ZB. die nächste Bekämpfung der ach so gefährlichen Cookies uo. diese “privacy” Sache – was auch immer …
“HTTPS”:
Warum? Wer keine Eingaben entgegen nimmt, braucht das nicht.
“Frag den Anwalt”:
Wisst ihr, was so einer p.h. kostet? Und in AT finden sich höchstens ein Handvoll, die sich da auskennen – aber Millionen “Profis” die einen “helfen”.
Dieser Kommentar verkörpert wirklich alles, was ich ablehne. Panikmache pur nutzt niemandem, außer vielleicht dem geschäftstüchtigen Webentwickler, der hier ja quasi vorschlägt, seine Kunden zu Änderungen zu nötigen. Ich will gar nicht im Einzelnen auf die angesprochenen Punkte eingehen. Nur soviel: Wer auf die Straße geht, kann überfahren, erschlagen oder ausgeraubt werden.
Ob man das ablehnt oder nicht – es wird genauso eintreten. Ich hatte leider noch immer Recht, egal was uns in den letzten Jahrzehnten von oben aufgedrückt wurde, egal was von jeden ignoriert wurde – es kam zu unzähligen Gerichtsverfahren weil man diese Warnungen nicht ernst nahm.
Ja, ich bin ua. bei einer Webentwickler Bude beteiligt – bin aber heute hpts. Journalist (könnte das alles also wg. dem Medienprivileg in AT entspannt sehen);
Doch ich sehe bei dieser Arbeit tgl. die Leute vor den Richtern zusammenbrechen. Sehe tgl. die Abmahnanwälte mit Taschen voller Geld und vernichtete Verlierer.
Nur weil die Eurokraten, seit sie Computer einschalten lernten, glauben das Web regeln zu müssen und damit den Boden für diese Abzocker bereiten. Dabei sind die altbekannten Rechtsbereiche (Urheberrecht usw.) in unserem Rechtsraum eh schon pervers genug und kosteten normalen Menschen Unsummen.
Damit nicht genug, man musste auch noch Cookies verteufeln und nun dieser Anschlag unter dem Deckmantel des Datenschutzes.
Ich kenne echt viele die nun aufgeben, viele andere ignorieren es einfach und warten ab. Von mir aus.
“Meine” Designer haben genug zu tun, diese DSGVO brachte denen hpts. viel Schulungsaufwand (Kurse die ich mir auch reinzog), und einen Haufen Mehrarbeit. Was noch lange nicht endet …
Würde ich tats., wie hier vorgeworfen, den “geschäftstüchtigen Webentwickler” geben, dann würde ein Link im Kommentar sein.
Tue ich nicht, weil mir geht es um die Warnung, diese nicht auf die leichte Schulter zu nehmen.
Aber keine Panik: Die meisten Kleinen sind eh unter dem Radar, ihre Sites mit ein paar 1000 Zugriffen im Monat findet nie ein Abzocker. Daher kommt ja die Meinung: “Ach da passiert schon nix”.
Doch die Gerichte (zb. in DE) sind extrem überlastet, weil Horden von Abmahnern über Mitbewerber (mit einigen Zugriffen mehr) herfallen.
Neueste Meldung eines namhaften spez. Versicherungs-Unternehmens im IT-Bereich: “Eine Branche löscht sich selbst aus: e-commerce versinkt im Abmahn-Chaos wg. DSGVO” …
Und genau das begann schon vor weit über 10 Jahren, weiß ich aus eigener Erfahrung, damals noch als Dienstleister für e-commerce.
FAZIT:
Man kann ablehnen, ignorieren oder sich wappnen.
Letzters ist weniger Aufwand als die meisten glauben, aber man darf nichts vergessen – auch nicht die kleinste Lücke darf bleiben. Sie werden gefunden, denn jene genannten suchen nur danach. Das ist meine Warnung!
Ich kann nach diesem Kommentar sogar noch eins drauflegen. Das ist hysterischer Schwachsinn und wird hoffentlich von keinem unserer Lesenden ernst genommen.
Ich bleibe trotz Beleidigung “höflich und nett” wie hier gefordert. Und ich bleibe trotzdem Fan von euch. Dr. Web begleitet mich seit dem Beginn und weil ein Autor anderer Meinung ist: jo mei …
So:
Vor 10 min kam eine Meldung von einem österr. Verein, dessen Obmann wurde auf 10.000 Euro geklagt. Weil genau der Fall mit nicht erlaubten Bildern eintrat. Die fotografierten dt. Touristen (nicht als Motiv, nur entfernt, kaum erkennbar im Hintergrund) wurden nicht gefragt und klagen nun schon jetzt(!) gem. DSGVO + eben dem üblichen Recht aufs eigene Bild …
Auch wenn nichts passiert, wenn die irgendwie raus kommen – Ärger ist es allemal. Als Ösi nach München (!) vors Gericht gezerrt zu werden, Kosten usw.
Daher werde ich immer dazu aufrufen, sich zu wappnen!
PS: Wo bleiben die prof. Webentwickler hier, welche auch meinen: Eine ordentliche Analyse, Beratung sollte geboten werden? (Aber es kann ja jeder eine Website in 5 min einrichten … passt.)
mfg – der Schwachsinnige
Wer hat denn behauptet, dass NICHTS getan werden sollte? Das wirst du in keinem meiner Beiträge so finden. Un d wenn ich einen Kommentar inhaltlich stark als Schwachsinn bezeichne, sollte das nicht personifiziert auf den Kommentatoren übertragen werden. Ich habe sicherlich auch schon Schwachsinn produziert, behaupte aber von mir, dennoch einigermaßen bei klarem Kopf zu sein.
Zum Fall mit den Bildern: Das kann schon seit längerem passieren und passiert auch immer wieder. Da gibt es halt die Spaßbefreiten, die meinen, sie dürften nicht auf irgendwelches Bildmaterial. Ich kann mich auch an die Häuslebesitzer erinnern, die vor Jahren Google wegen Streetview vor den Kadi gezerrt haben. Da ist die DSGVO nur eine neue Abkürzung auf einem schon existierenden Klageschreiben.
Vielen herzlichen Dank für diese übersichtlichen, informativen und wohltuend bodenständigen Artikel! Den teile ich gerne!
Hallo Herr Petereit,
Danke für den Beitrag, hatte bereits darauf gewartet 🙂
Ich habe noch drei kleine Fragen:
– bin ich als Agentur für alle Kundenseiten verantwortlich?
– wenn ja ist es üblich, die Änderungen in Rechnung zu stellen oder gehört das quasi zum Berufsrisiko und muss kostenlos durchgeführt werden?
– falls der Kunde üblicherweise dafür zahlen muss und ich aber trotzdem verantwortlich dafür bin, muss ich ihn zwingen die Änderungen durchführen zu lassen?
Vielen herzlichen Dank,
Lukas Bohrmann
1.) Nein. Jeder Betreiber ist für seine öffentlich wahrnehmbare Site, u. seine interne EDV selbst verantwortlich. Bzw. dessen Datenschutz-Verantwortlicher od. dessen Datenschutz-Beauftragter (je nach Betriebsgröße u. Daten-Art).
Als Agentur (=Auftragsverarbeiter!) sollte man den aber auf diese Sache hinweisen, Vorschläge machen uo. passende Angebotspakete machen (Beratung, Check, Erstellung, …).
2.) Alles gehört verrechnet. Heikel ist nur, wenn man ohne expliziten Auftrag was macht. ZB. techn. uo. gar inhaltliche Updates (idF. eben zT. “Datenschutz”, etwa eine Datenschutz-Erklärung verfassen und verrechnen). Diese Dinge kann der Betreiber bestreiten und unbezahlt lassen.
3.) Zwingen kann man niemanden. Sehe ich tgl.: “Diese Sch… DSGVO ist mit wurscht, passiert schon nix” höre ich da. Nun, dem ist nicht zu helfen, und das werde ich aufgrund so einer Einstellung auch nicht mehr versuchen. (Wenn dann was passiert, werden die schon angekrochen kommen – das war noch immer so)
Evtl. sollte man – als Auftragsverarbeiter – diese Hinweise irgendwie dokumentieren, zb. Mails archivieren.
Dies ist nur meine Ansicht, als WebWorker der ersten Stunde – kann auch voll falsch sein. Aber ich werde es weiter so handhaben.
Persönlich kann ich nur raten: Macht eure Kunden so schonend als möglich (ohne erhobenen Zeigefinger zur Strafhöhe, Tag X)) auf diese Dinge aufmerksam – aber mit so viel Druck als nötig um sie zur Einwilligung in wenigstens eine Beratung zu bewegen.
Das hat nichts mit Panikmache zur Geschäftsankurbelung zu tun, sondern ist das Angebot einer Leistung, welche aufgrund “höherer Gewalt” (EU) eben seit einiger Zeit nötig ist.
So wie Impressumspflicht; TKG, Widerruf … uvam. im Shop; die inzwischen dem Mobilphone-Wahn geopferte gesetzl. Pflicht zur Barrierefreiheit öffentl. Sites uvam. was uns (Agenturen, ISP´s, Kunden) in den letzten Jahrzehnten von oben aufgedrückt wurde, ist auch die DSGVO und alles was folgt, machbar.
Aber es ist eine Leistung, wo wir Agenturen unsere Leute und uns selbst vorbereiten, uns schulen und dieses Know-how anbieten. Das muss was wert sein …
Hallo Herr Bohrmann!
zu 1: Nein, Sie sind generell nicht verantwortlich.
zu 2: Ja, es ist üblich, alle Änderungen zu berechnen und nein, es gehört nicht zum Berufsrisiko.
zu 3: siehe zu 1
Ich würde natürlich empfehlen, die Kunden über die anstehenden Erfordernisse zu informieren. Das ist aber eine Geschmackssache, keine Pflicht.
Gruß
D. Petereit
Interessanter Artikel, der viele Panikmacher auf den Boden der Tatsachen zurückholt. Aber es gibt in den Medien auch positive Berichterstattung, die Lösungen aufzeigt. Wie diese hier.
Ich habe mich übrigens in diesem Special zum Thema DSGVO auf 14All noch weiter informiert: https://www.14all.eu/stichwort/dsgvo/ Vielleicht findet es ja jemand auch interessant.
Schau mal hier:
https://www.datenschutzbeauftragter-info.de/tracking-nur-noch-mit-opt-in-kritische-anmerkungen-zum-dsk-papier/
Das bedeutet, dass Google Analytics usw nur noch mit Opt-In betrieben werden dürfen und nicht wie oben geschrieben mit Opt-Out.
Das DSK-Papier ist auch nicht viel mehr als eine Meinungsäußerung.
Ich habe auf sehr vielen Blogs gesehen, dass die Kommentarfunktion ausgeblendet wurde aufgrund der Richtlinie. Die Begründung war, dass man jederzeit die Kommentare löschen können muss als User, glaube ich? Wie schaut das wirklich mit Kommentaren aus? Ihr habt sie ja auch noch?
Die Kommentarfunktion ist eine Core-Funktion von WordPress. Ich gehe davon auis, dass wir rechtzeitig mit einer DSGVO-konformen Version versorgt werden. Das Problem bei Kommentaren ist eigentlich nur die IP-Adresse der Kommentierenden. Die darf nicht gespeichert werden und gespeicherte müssen gelöscht werden. Das ist aber insgesamt ein sehr kleines Problem und leicht zu lösen. Was nicht mehr geht, ist die Auslagerung der Kommentare zu Disqus oder anderen Dienstleistern. Zumindest bislang gibt es keine konforme Möglichkeit, das doch zu tun. Wir waren aber schon immer der Auffassung, dass die Kommentare unserer Leserinnen und Leser fest zu uns gehören und haben nie über die Auslagerung nachgedacht.
Übrigens: Dieses Plugin verhindert die Speicherung der IP schon effektiv, löscht aber nicht die bereits gespeicherten.
Nun ich denke auch in diesem Fall, ist es einfach nur klar und logisch, dass irgendwann all das Verbotene, das mit unseren zu Teil hinterlistig und nur zu Werbe-und Geldabzockerzwecken gespeicherten Privatdaten dazu führen musste dass es jetzt knallhart wird. Auf gutgemeinte Hinweise das zu unterlassen oder endlich offen und ehrlich damit umzugehen, wurde ja nicht gehört. Ja sicher auch unsere Politiker und die geheimdienste und die Polizei tun das verbotenerweise Millionenfach. Und dagegen müssen wir uns auch noch was einfallen lassen – alle zusammen.
Hallo und guten Tag,
ich möchte zum Thema DSGVO auf einen meines Erachtens ausgesprochen informativen und erhellenden Artikel hinweisen, der vor einigen Tagen in den Deutschen Wirtschaftsnachrichten publiziert wurde.
Dieser Artikel ist freilich nicht im speziellen Hinblick auf die Sorgen und Problemfragen von Bloggern ausgerichtet. Er beleuchtet vielmehr die gesellschaftlichen, politischen und wirtschaftlichen Aspekte der DSGVO.
Der Artikel ist meines Erachtens fundiert, aussagekräftig und lesenswert.
Hier ist der genannte Artikel zu finden: https://deutsche-wirtschafts-nachrichten.de/2018/05/04/europas-buerger-verhalten-sich-wie-untertanen-einer-diktatur/
Ich sehe bei der DSGVO eine deutliche Parallele zur der vor einigen Jahren stattgefundenen europäischen Vereinheitlichung der Eisenbahnsicherheitsrichtlinien. Auch hier wurde eine Europäische Verordnung in Kraft gesetzt, die unfassbar schwammig formuliert war aber eingehalten werden musste. Die zuständigen Techniker, Fachingenieure und zum Teil auch Fachbeamte in diversen europäischen Ländern fluchten und schwitzen, denn sie mussten neue Regelwerke und Ausführungsbestimmungen schaffen um die Europäische Verordnung überhaupt anwendbar zu machen.
Durch die erzwungene Vereinheitlichung ist eine neue Zertifizierungsbranche entstanden (die sich durch keinerlei echte Sinnhaftigkeit und durch keinen irgendwie gearteten Nutzen (wie etwa eines Zugewinns an Betriebssicherheit) auszeichnet – außer dem monetären Nutzen für die Zertifizierungsunternehmen).
Meines Erachtens nach kritikwürdig und inakzeptabel ist es, dass zukünftig Europäische Eisenbahnsicherheitsrichtlinien nicht nicht mehr öffentlich verfügbar/einsehbar sein sollen(!) sondern nur noch akreditierten Zertifizierungsunternehmen zur Verfügung gestellt werden.
Ein Fachingenieur, der mit der Handhabbarmachung der grotesk weit gefassten, unkonkret allumfassenden europäischen Eisenbahnsicherheits-Verordnung befasst war, brachte es wie folgt auf den Punkt: “Das ist gefühlt so als würde man sich über die Statik eines Bankgebäudes Gedanken machen, während hinten die Türe auf steht und jemand das Geld raus trägt.”
Mal ne Frage, gelten die Regeln der DSGVO ab dem 25. eigentlich auch für Material (Foto etc.) das vor dem 25. angefertigt/veröffentlicht wurde ? Also quasi Rückwirkend ?
Konkretisier gerne nochmal, was du genau damit meinst. Generell gilt, dass die Datenverarbeitung als Ganzes ab dem 25. Mai den neuen Regeln folgen muss.
Hallo Dieter,
wenn ich Deinen Artikel richtig verstehe, geht es in ihm um die Nutzer der kostenpflichtigen WP-Version wordpress.org, aber nicht um die Nutzer der kostenlosen WP-Version wordpress.com. Sehe ich das so richtig?
Als Nutzer der kostenlosen Version habe ich mich für einen Datenschutzgenerator für meine Datenschutzerklärung entschieden und gehe davon aus, dass ich erst einmal auf der sicheren Seite bin.
Besten Gruß
von Gerhard
So ähnlich. Es geht um die Nutzer der Software von WordPress, nicht um die Nutzer der Plattform von WordPress. Aber um beide muss sich Automattic als verantwortliche Firma in Sachen DSGVO noch ein Stück weit kümmern.
Die gut geschriebene Zusammenfassung hat sehr geholfen! Weiter teilen.