EU-Datenschutz-Grundverordnung – Ist deine Webseite DSGVO-konform?
LETZTES UPDATE: 11/2020
Die EU-DSGVO stellt uns Online Marketer und Blogger vor zahlreiche Herausforderungen und erfordert einiges Umdenken.
Schließlich hat die DSGVO (EU-Datenschutz-Grundverordnung) zahlreiche Verschärfungen des Datenschutzes im Gepäck, die deutliche Auswirkungen auf das Online Marketing haben werden.
In den letzten Monaten habe ich mich intensiv mit der EU-DSVGO auseinandergesetzt und meine Webseiten Datenschutz-konform umgestaltet.
Hier zeige ich dir meine Learnings zur DSGVO und die Änderungen an meinen WordPress-Seiten, die ich bisher vorgenommen habe bzw. noch vornehmen werde.
Selbstverständlich werde ich den Beitrag weiter ergänzen, sobald sich neue Erkenntnisse und Erfahrungen ergeben. Updates bzw. Erweiterungen erkennst du an dem "+" Zeichen im Inhaltsverzeichnis.
Vielleicht hilft es dir ja bei deinen eigenen Webseiten weiter?!
HAFTUNGSAUSSCHLUSS
Dieser Beitrag stellt KEINE Rechtsberatung dar und ersetzt nicht die Prüfung durch einen Anwalt.
Als zertifizierte Datenschutzbeauftragte (IHK) habe ich mich intensiv mit den Bestimmungen der DSGVO auseinandergesetzt und die hier veröffentlichten Inhalte mit größter Sorgfalt recherchiert.
Dennoch kann ich KEINE GEWÄHR für deren Aktualität, Zuverlässigkeit und Vollständigkeit, sowie eventuelle Rechtsfolgen übernehmen.
Was ist die DSGVO?
DSGVO steht für EU-Datenschutz-Grundverordnung, ein einheitliches Datenschutzgesetz für alle EU-Staaten.
Diese Verordnung soll die Rechte der EU-Bürger auf Privatsphäre stärken und vereinheitlichen und ihnen die Kontrolle über personenbezogene Daten sichern.
Auch alle Unternehmen außerhalb der EU müssen sich an das EU-Datenschutzrecht halten, sofern sie Daten von EU-Bürgern verarbeiten.
Einheitliche DSGVO für alle EU-Staaten
Bisher hatten die einzelnen Mitgliedsstaaten der EU alle ihre eigenen Datenschutzgesetze. Diese waren mehr oder minder streng und wurden auch unterschiedlich streng durchgesetzt.
Jetzt gibt es nicht nur eine einheitliche Verordnung für alle, die EU sorgt auch für deren Durchsetzung.
Gilt auch für Drittländer, sobald EU-Bürger betroffen sind
Nicht nur die EU-Staaten müssen sich an die DSGVO halten, sondern auch jedes Unternehmen eines Drittlandes, das mit EU-Bürgern Geschäfte machen will.
Es spielt also keine Rolle, wo der Sitz des Unternehmens ist. Entscheidend ist, ob EU-Bürger betroffen sind.
Die US-Unternehmen, mit denen wir Online Marketer am häufigsten zu tun haben, haben sich bereits darauf eingestellt und sind recht gut vorbereitet.
Wann tritt die DSGVO in Kraft?
Die DSGVO gilt zwar schon seit dem 24. Mai 2016, kommt aber gemeinsam mit dem neuen BDSG (Bundesdatenschutzgesetz) am 25. Mai 2018 endgültig zur Anwendung.
BEACHTE: Es gibt keine weitere Übergangsfrist, da diese ja bereits seit knapp 2 Jahren läuft.
Dein Business, deine Webseiten und Blogs müssen also zum 24. Mai 2018 um 23:59 Uhr DSGVO-konform sein!
Solltest du also noch nicht soweit sein, wird es jetzt höchste Zeit, es anzugehen, da es einiges zu tun gibt.
Gilt die EU-DSGVO auch für dich?
Auch als Einzelunternehmen oder kleine Firma verarbeitest du idR. personenbezogene Daten von EU-Bürgern und musst dich an die DSGVO-Richtlinien halten.
Dabei spielt es keine Rolle, ob du ein B2B oder B2C Business hast.
Was sind personenbezogene Daten?
Dabei handelt es sich um alle Informationen zu einer identifizierten oder identifizierbaren Person.
"Identifizierbar" ist eine Person, wenn durch die Zuordnung einer Kennung (Name, Standort, IP-Adresse etc.) direkt oder indirekt identifiziert werden kann.
Die Möglichkeit einer Identifizierung reicht bereits aus.
Wenn du ein Online Business, eine Webseite oder Blog betreibst, wirst du vermutlich einige der folgenden „personenbezogenen Daten“ verarbeiten:
Zwischendurch mal was zum Pinnen:
Die EU-DSGVO kommt, was muss ich tun?
Für eine DSGVO-konforme Webseite oder Blog sind einige Änderungen erforderlich.
Die kosten zwar einiges an Zeit, können dir aber viel Ärger und Kosten ersparen.
Auftragsverarbeitungs-Vertrag nach DSGVO +
Als erstes solltest du eine Liste der Firmen anlegen, die Daten von dir bzw. deinen Kunden, Abonnenten und Besuchern verarbeiten.
Hierzu zählen in der Regel:
Bei Berufsgeheimnisträgern (bspw. Steuerberater, Rechtsanwälte oder Wirtschaftsprüfer) ist kein Auftragsverarbeitungs-Vertrag nötig.
Falls noch nicht erledigt, kontaktiere alle Firmen auf deiner Liste wegen einem Auftragsverarbeitungs-Vertrag (AVV) nach DSGVO.
In der Regel liegt solch ein Vertrag bereits vor. Du füllst ihn aus und schickst ihn unterschrieben zurück. Das geht auch direkt online, der Postweg ist inzwischen nicht mehr erforderlich.
Auch der ursprüngliche Vertrag für Google Analytics wurde inzwischen durch den Zusatz zur Datenverarbeitung ersetzt und kann direkt online abgeschlossen werden.
Nimm dir etwas Zeit für diese Liste, denn du bist verpflichtet mit allen Auftragsverarbeitern solch einen AVV abzuschließen.
EU-U.S. Privacy Shield - gekippt im Juli 2020 +
UPDATE: Im Juli 2020 hat der EuGH mit einem Paukenschlag das umstrittene EU-US Privacy Shield gekippt.
Das EuGH-Urteil zum Privacy Shield wird erhebliche Auswirkungen auf den Datentransfer in die USA, aber auch in andere Drittländer haben.
Zählen US-Unternehmen zu deinen Auftragsverarbeitern?
Bspw. dein E-Mail-Marketing-Service?
ActiveCampaign, Mailchimp & Co sind auch bei uns sehr beliebt, lagern aber die Daten in der Regel auf US-Servern.
In diesem Fall konntest du bisher prüfen, ob das betreffende Unternehmen beim EU-U.S. Privacy Shield gelistet ist.
Da die Datenschutzbestimmungen in den USA deutlich lockerer sind als in der EU, gelten sie als "unsicheres Drittland".
Um die wirtschaftsstarke EU nicht zu verlieren, konnten US-Unternehmen sich verpflichten, die EU-Datenschutz-Grundverordnung einzuhalten.
Da es keine Nachfolge-Vereinbarung gibt, herrscht nach dem EuGH-Urteil große Ratlosigkeit. Was du nun tun solltest, erklärt der Rechtsanwalt Sören Siebert hier beschrieben.
In der Privacy Shield Liste kannst du überprüfen, ob das der Fall ist. Wenn dein Anbieter hier nicht gelistet ist, solltest du nach Alternativen suchen.
SSL-Zertifikat
Falls du es nicht bereits getan hast, solltest du jetzt unbedingt endlich deine Webseite auf https umstellen.
Die SSL-Verschlüsselung ist unumgänglich für eine sichere Datenübertragung, die von der DSGVO gefordert wird.
Da auch Google bereits seit Längerem den Umstieg auf https forciert, schlägst du gleich zwei Fliegen mit einer Klatsche.
Sollten dich die jährlichen Kosten für das Zertifikat bisher abgeschreckt haben, ist das kostenlose SSL-Zertifikat von Let’s Encrypt eine gute Lösung für dich.
Bei All-Inkl funktioniert das mit wenigen Klicks:
Neue Datenschutzerklärung mit ausführlichen Informationen
Du benötigst eine neue Datenschutzerklärung für deine Webseite, da sich die Informationspflichten maßgeblich geändert haben.
Bisher waren die meisten Datenschutzerklärungen eher allgemein gehalten und standardmäßig mit Online-Generatoren erstellt.
Für die neue Datenschutzerklärung sind diese Standard-Generatoren nur noch bedingt ausreichend.
Mit der DSGVO kommt eine umfangreiche Informationspflicht in deiner Datenschutzerklärung:
Die verantwortliche Stelle: Bei Webseiten bist das üblicherweise du als Betreiber der Seite.
Zweckgebundenheit: Du musst jetzt konkret angeben, warum du diese Daten erhebst (also beim Newsletter, warum sich dein Besucher eintragen muss, warum diese Daten gespeichert werden, wie lange sie gespeichert werden etc.)
Daten, die beim Blog erfasst werden: IP-Adresse, Tracking-Cookies, Email-Adresse beim Newsletter, beim Kontaktformular, bei den Kommentaren etc.
Jetzt ist es wichtig, darauf zu achten, welche Daten wirklich notwendig sind, denn die DSGVO legt die Daumenschrauben an und verlangt von uns so wenig Daten wie möglich zu verarbeiten.
Datenminimierung: möglichst wenig und nur die für diesen Zweck absolut erforderlichen Daten erheben.
Du solltest also überprüfen, welche Daten du tatsächlich unbedingt benötigst. Beim Newsletter benötigst du bspw. grundsätzlich nur die E-Mail-Adresse.
Alles, was darüber hinausgeht, solltest du entweder ganz weglassen oder zwischen Pflichtangaben und freiwilligen Angaben differenzieren.
Freiwillige Angaben können selbstverständlich immer gemacht werden: etwa Vor- und Nachname oder bei Kommentaren die Webseite etc.
Was Blogger bei der Umsetzung des Datenschutzes beachten müssen erklären Anwalt Christian Solmecke von wbs-law.de und sein Kollege, der Datenschutzexperte Hubertus Jencquel in diesem Video. Zu Gast: Ricarda Nieswandt von BLOGST.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenWoher bekommst du die neue Datenschutzerklärung?
Zum Erstellen der neuen Datenschutzerklärung kannst du einen Anwalt deines Vertrauens beauftragen.
Oder du erstellst die selbst mit einem DSGVO-Datenschutz-Generator.
eRecht24 stellt solch einen DSGVO-Datenschutz-Generator zur Verfügung. In abgespeckter Variante ist er kostenlos, für weitere Funktionen und Tools kannst du eRecht24 Premium* abonnieren.
Der Impressum- und Datenschutz-Generator führt dich Schritt-für-Schritt durch den Erstellungsprozess.
Ähnlich funktioniert der kostenlose DSGVO-Datenschutz-Generator von wbs-law. Für Blogs und Webseiten ohne Shop oder Ähnliches dürfte dieser ausreichen.
Einen weiteren Datenschutz-Generator hat RA Dr. Schwenke Online gestellt.
Und auch activemind.de stellt einen kostenlosen DSGVO Datenschutz-Generator zur Verfügung.
Google Analytics DSGVO-konform nutzen +
Um Google Analytics DSGVO-konform nutzen zu können, musst du:
Bisherige Analytics Daten löschen
Um die ohne „anonymizeIP“ erhobenen Daten zu löschen, gibt es laut Google nur die Möglichkeit, deine bisherigen Propertys zu löschen und neu anzulegen.
Ich habe es so gemacht. Ob dies tatsächlich notwendig ist, darüber scheiden sich die Geister – wie in vielen Bereichen der DSGVO. Es ist wohl eine Frage der Auslegung.
Vertrag zur Auftragsverarbeitung +
In Deutschland ist es bis zum 25.5.2018 erforderlich, die Auftragsverarbeitungsverträge in Papierform abzuschließen.
Du musst also das Formular ausfüllen, 2-fach ausdrucken und unterschrieben nach Dublin schicken.
Zusätzlich solltest du auch den „Zusatz zur Datenverarbeitung“ in deinem Analytics-Konto akzeptieren, empfiehlt RA Dr. Schwenke in diesem Beitrag.
Gehe zu „Details zum Zusatz zur Datenverarbeitung verwalten“, fülle deine Unternehmens- bzw. Kontaktangaben aus und klicke auf „Speichern“.
Wie bereits erwähnt, ist inzwischen nur noch der Zusatz zur Datenverarbeitung mit Google Analytics direkt online möglich.
IP-Adresse anonymisieren
Damit deine Besucher nicht mehr eindeutig erkennbar sind, musst du deren IP-Adressen mit „anonymizeIP“ anonymisieren.
Dieser Zusatz-Code ersetzt die letzten 8 Bit der IP-Adresse durch eine 0, wodurch nur noch eine grobe Lokalisierung möglich ist.
Am einfachsten geht das mit dem Rechtstexte-Plugin*, das eRecht24 seinen Premium Mitgliedern zur Verfügung stellt.
Du installierst und aktivierst das Plugin, gibst deine Google Analytics Tracking ID ein, klickst die Checkboxen an und speicherst ab. Erledigt!
Wenn du den Code von Hand ergänzen willst, findest du hier eine Anleitung dazu.
Cookie Opt-in-Verfahren +
Der EuGH hat inzwischen entschieden, dass für alle Tracking und Analyse-Cookies das Opt-in-Verfahren erforderlich ist. Dafür halte ich das Borlabs Cookie Plugin für die beste Alternative.
Es unterstützt dich dabei, Cookies erst nach der Zustimmung des Besuchers zu setzen, also mittels Opt-in.
>>> Zum Plugin* (Affiliate-Link)
Ich habe einen Coupon für dich, mit dem du 5% Rabatt auf den Preis des Plugins erhältst. Nutze dazu den Code: IMABIRDS
Datenschutzerklärung und Opt-Out-Möglichkeit
In deiner Datenschutzerklärung musst du deine Besucher über den Einsatz und die Funktionsweise von Google Analytics informieren.
Zusätzlich musst du dem Nutzer die Möglichkeit zum Widerspruch, also Opt-Out geben. Dazu setzt du einen Link zum Deaktivierungs-Add-on und auf ein Opt-Out-Cookie.
So kann jeder Nutzer selbst entscheiden, ob der von der Opt-Out-Möglichkeit Gebrauch macht oder nicht.
Der Text für Google Analytics ist bereits in der kostenlosen Version von eRecht24 dabei. Damit kannst du deine Datenschutzerklärung ergänzen.
Hier sind noch zwei WordPress-Plugins, mit denen du ein Google Analytics Opt-Out in deine Seite einbinden kannst:
User ID-Funktion deaktivieren +
Da Google bei aktivierter User ID-Funktion die Nutzer deutlich effektiver tracken kann, raten vorsichtige Juristen und Datenschützer dazu, diese abzuschalten. Andernfalls könnte ein Opt-In erforderlich sein.
Da auch hier - wie in so vielen Bereichen der DSGVO - die Meinungen auseinander gehen, ist es eine Frage der Abwägung, wie wichtig dir das Tracken mit User ID ist.
Um die User ID-Funktion abzuschalten, logge dich bei Google Analytics ein, gehe auf "Verwaltung", wähle die gewünschte Property aus, klicke auf "User ID" und stelle unten den Button auf "aus".
Ähnliches gilt für die Zielgruppen-Funktion (sog. Audiences), mit der bestimmte Besucher der Webseite als Zielgruppe für Werbeanzeigen ausgewählt werden können.
Willst du auf Nummer sicher gehen, solltest du auch auf diese Funktion verzichten. Die Zielgruppen findest du ebenfalls unter "Verwaltung" in der entsprechenden Property unter "Zielgruppendefinition".
Verkürzen der Speicherdauer +
In Google Analytics kannst du neuerdings die Speicherdauer selbst auswählen. Das Minimum liegt nun bei 14 Monaten ohne Zurücksetzen bei erneuter Aktivität.
Voreingestellt sind 26 Monate mit Zurücksetzen bei jeder neuen Aktivität.
Um die Speicherdauer umzustellen, logge dich bei Google Analytics ein, gehe auf "Verwaltung", wähle eine Property aus, klicke auf "Datenaufbewahrung" und wähle die gewünschte Speicherdauer aus.
Verfahrensverzeichnis erstellen +
[Update]: Sobald wir personenbezogene Daten nicht nur „gelegentlich“ verarbeiten, sind wir verpflichtet, ein Verfahrensverzeichnis bzw. ein Verzeichnis von Verarbeitungstätigkeiten zu führen.
Falls du bei der Erstellung dieses Verzeichnisses Schwierigkeiten hast, kommt dir die Hilfe* von der Datenbeschützerin Regina Stoiber gerade recht!
- Affiliate-Link -
DSGVO & WordPress
Auch einige WordPress-Funktionen und Plugins sind leider nicht DSGVO-konform und können dadurch zu Abmahnungen führen.
Einige Plugins kannst du schnell und einfach umrüsten, auf andere solltest du künftig lieber verzichten, um dir Ärger zu ersparen.
Vermutlich wird sich in nächster Zeit noch einiges tun in Sachen WordPress & Plugins. Ich werde dranbleiben und Neuerungen ergänzen.
Natürlich freue ich mich über Hinweise und Ergänzungen von euch.
Kontaktformular +
Wenn du für dein Kontaktformular das Contact Form 7 Plugin einsetzt, solltest du eine Checkbox und einen Hinweis für die Nutzer hinzufügen.
Dafür kannst du den Code-Schnipsel für eine Acceptance Checkbox hinzufügen, die von Contact Form 7 hier zur Verfügung gestellt wird.
So sieht der Code aus:
[acceptance your-consent] HINWEIS AUF DATENSCHUTZERKLÄRUNG UND EINWILLIGUNG ZUR DATENSPEICHERUNG [/acceptance]
Füge deinem Formular die Checkbox, den Link zu deiner Datenschutzerklärung und den Hinweis auf die Speicherung der Angaben zur Kontaktaufnahme und für Rückfragen hinzu.
Jetzt kann das Formular nur abgeschickt werden, wenn der Nutzer seine Einwilligung durch Klicken der Checkbox gegeben hat.
Natürlich muss die Verwendung und Aufklärung darüber auch in deine Datenschutzerklärung mit rein. Auch dafür bekommst du einen kostenlosen Mustertext bei eRecht24.
[UPDATE]: Ist die Checkbox beim Kontakt-Formular wirklich sinnvoll?
Immer mehr Stimmen werden laut, die von der Checkbox beim Kontakt-Formular abraten.
Schließlich ist es selbstverständlich, dass die Daten verarbeitet werden, sobald der Nutzer das Formular ausfüllt und abschickt.
„Warum soll ich da noch eine Checkbox abhaken? …
Es ist doch wohl beiden Seiten klar, dass man in eine Kommunikation eintreten möchte. Warum sollte jetzt derjenige, der das Formular nutzen möchte, eine Einwilligung erteilen? Sorry, das sehe ich nicht!“
– RA Stephan Hansen-Oest (Datenschutzrecht)
Demnach muss man zwar beim Formular seiner Informationspflicht nachkommen und der Nutzer auf die Datenschutzerklärung hinweisen, zu welchem Zweck die Daten verarbeitet werden, wie lange sie gespeichert werden…
Wichtig ist allerdings, dass die Formulare per SSL-Verschlüsselung gesendet werden – aber SSL ist ja heute eh quasi Pflicht (auch im Hinblick auf Google).
Auch hier gibt es also wie in vielen anderen Bereichen der DSGVO unterschiedliche Interpretationen.
Kommentare +
UPDATE: Zu den Kommentaren gibt es kontroverse Interpretationen der DSGVO.
Interpretation #1: Eine Einwilligung ist bereits vor dem Absenden eines Kommentars nötig -> Checkbox VOR dem Senden-Button erforderlich (wie in meiner Anleitung beschrieben).
Interpretation #2: Ein kurzer Teaser mit der Info, welche Daten gespeichert werden und Link zur Datenschutzerklärung reicht -> Checkbox VOR dem Senden-Button NICHT erforderlich.
Bei #2 wird allerdings eine Checkbox erforderlich, sobald ein Nutzer Kommentare abonniert!
Denn um E-Mails zu verschicken, benötigst du eine explizite Einwilligung.
Das ist nach zahllosen Diskussionen und Anfragen inzwischen auch meine Ansicht. Disclaimer: Meine Meinung, keine Rechtsauskunft!
Schließlich wird der Nutzer beim Kommentieren ja bereits aktiv, trägt seinen Namen, seine E-Mail-Adresse und optional seine Webseite ein und bestätigt dies mit dem Absenden-Button.
Eine nochmalige Bestätigung mit der Checkbox wäre also doppelt gemoppelt.
Es bleibt spannend!
Auch bei den Kommentaren ist eine Einwilligung des Nutzers zur Speicherung seiner Angaben erforderlich.
Das läuft wie beim Kontaktformular über eine Checkbox und ein Hinweis auf Datenspeicherung mit Link zur Datenschutzerklärung.
Am einfachsten ist das mit einem kostenlosen Plugin, bspw. mit dem WP GDPR Plugin von Appsaloon - sieht dann ungefähr so aus:
... oder dem WP GDPR Compliance zu realisieren. Damit sieht es dann ungefähr so aus:
Diese Plugins unterstützen neben den WordPress-Kommentaren auch andere Plugins, z.B. Contact Form 7, Gravity Forms und WooCommerce.
Problem: Leider funktionieren sie nicht auf allen Webseiten.
Bei mir funktionieren beide nicht, da Thrive Themes die ursprüngliche WordPress-Kommentar-Funktion ersetzt. Die Jungs von Appsaloon sind an der Sache dran, mal sehen ob sie da helfen können.
Zusätzlich bin ich dabei, eine weitere Alternative abzuklären – und zwar den Einsatz von Thrive Comments.
Dieses Plugin verfügt seit dem letzten Update bereits über eine Checkbox, allerdings erscheint die erst, sobald ein Nutzer die Kommentare abonnieren möchte.
Die Argumentation dazu: Für den Kommentar selbst reicht der Hinweis in der Datenschutzerklärung und erst sobald der Nutzer die Kommentare abonniert, benötigt man die Einwilligung zum E-Mail-Senden.
Meine persönliche Lösung: Ich habe vor den Kommentar-Absenden-Button einen Hinweis-Text mit Link zur Datenschutzerklärung eingebunden:
"Beim Absenden eines Kommentars wird dein Name, E-Mail und IP-Adresse gespeichert, um einen Überblick über die veröffentlichten Kommentare zu behalten. Weitere Informationen dazu findest du in der [Link Datenschutzerklärung]"
Über weitere Hinweise hierzu würde ich mich freuen.
Social Plugins
Dass die offiziellen Social Plugins von Facebook & Co nicht DSGVO-konform sind, ist hinlänglich bekannt.
Mein liebstes Sharing-Tool, das Social Warfare Plugin*, habe ich hier immer NOCH im Einsatz, da mir vom Entwickler versichert wurde, das es absolut DSGVO-konform ist.
Eine Alternative ist das datenschutzkonforme Safe Sharing Tool für Premium Mitglieder von eRecht24.
Damit wird ein direkter Kontakt zwischen den Netzwerken und Nutzern erst dann hergestellt, wenn der Nutzer aktiv auf einen dieser Button klickt.
Dasselbe gilt für die Social Sharing Buttons, die bei Thrive Themes* integriert sind. Auch hier wird beim Laden der Seite kein Kontakt zu den Netzwerken hergestellt, sondern erst beim Anklicken eines Buttons.
Ich nutze auf meinen Seiten das Safe Sharing Plugin von eRecht24 oder die Sharing-Buttons von Thrive Themes.
Eine weitere Alternative für DSGVO-konforme Teilen-Buttons ist das Shariff Wrapper Plugin, das vom deutschen Computermagazin c’t entwickelt wurde.
Emojis
Auch Emojis werden extern angefordert und dabei wird die IP-Adresse der Besucher übertragen. Da ich sie wenig nutze, ist es mir nicht schwer gefallen, mich von ihnen zu trennen.
Dazu waren 2 Schritte nötig:
1. Unter Einstellungen -> Schreiben -> Bei "Emoticons wie :-) und :-P in Grafiken umwandeln" habe ich das Häkchen entfernt.
2. Ich habe das Plugin Disable Emojis installiert, das den zusätzlichen Emoji Javascript File deaktiviert.
Die Anleitung dazu gab es hier.
Google Fonts +
Die WordPress Themes fordern die Google Fonts extern von den Google Servern an, um die Font-Vielfalt zu gewährleisten. Dabei werden Daten an Google übertragen.
Es gibt aber eine Möglichkeit, dies zu umgehen. Du kannst die von dir genutzten Google Fonts auf deinem eigenen Server speichern und sie von da abrufen statt von den Google Servern.
Wie du das machen kannst, zeigt Jonas Tietgen in diesem Beitrag.
Wenn dein Theme bzw. Page-Builder es unterstützt, kannst du die Fonts mit einem Plugin hochladen und dann beliebig einsetzen. Ich verwende bspw. hierfür das kostenlose Custom Fonts Plugin.
YouTube Videos +
YouTube Videos müssen im erweiterten Datenschutzmodus eingebettet werden. Das sollte kein Problem darstellen, da es dazu nur eines Häkchens bedarf.
Wenn du bereits YouTube-Videos eingebettet hast, solltest du den Einbettungscode austauschen.
Falls du wie ich deinen Content mit dem Thrive Architect erstellst, hast du beim Einbetten die Möglichkeit, YouTube Cookies auszublenden.
Das geht ganz einfach: Nachdem du die Video-URL eingegeben hast, klickst du auf "Advanced" und schaltest "Disable YouTube cookies" ein.
DSGVO und E-Mail-Marketing
Wie oft wurde das gute alte E-Mail-Marketing bereits für tot erklärt? Jetzt wird auch wieder von einigen das Schlimmste befürchtet.
Besonders das Kopplungsverbot der DSVGO verärgert viele Online Marketer (mich eingeschlossen), da das Listbuilding dadurch ziemlich erschwert wird.
Rechtssichere Einwilligung vor der DSGVO
Für deinen Newsletter-Versand benötigst du ja heute bereits eine Einwilligung des Empfängers.
Und im Gegensatz zu den Vereinigten Staaten ist bei uns das "Double Opt-In" Verfahren ja längst Pflicht.
Wenn du dich bisher daran gehalten hast, kannst du diese Kontakte nach meinem Kenntnisstand auch weiterhin anschreiben.
Falls du das nicht so gemacht hast, solltest du dir diese Einwilligung nachträglich holen.
DSGVO-Konforme Newsletter-Einwilligung
Laut DSVGO müssen 4 Voraussetzungen erfüllt sein, damit die Einwilligung zum Newsletter-Versand wirksam ist:
Wenn auch nur eines dieser Kriterien fehlt, ist die Einwilligung unwirksam.
Das Kopplungsverbot
Das KOPPLUNGSVERBOT steht in unmittelbarem Zusammenhang mit der oben genannten FREIWILLIGKEIT.
Für eine wirksame Einwilligung muss eine aktive Handlung erfolgen: In den Newsletter eintragen und die Anmeldung bestätigen.
Derzeit nutzen wir Freebies (kostenloses Ebook, Video, Checkliste, CheatSheet, Content-Upgrade etc.) zum Aufbau unserer E-Mail-Liste.
Das Kopplungsverbot der EU-Datenschutz-Grundverordnung verbietet dies künftig!
Der Grund: Die Wahlmöglichkeit ist nicht gegeben, wenn der User den Download nur bekommt, wenn er sich in den Newsletter einträgt.
Das ist übrigens auch keine Frage der Semantik!
Du kannst also auch nicht sagen: „Trage dich in meinen Newsletter ein und als Dankeschön bekommst du mein eBook zugeschickt.“
Das kommt nämlich auf dasselbe raus, da es auch einen gewissen Zwang erzeugt, die Freiwilligkeit also nicht gegeben ist.
Was kannst du dennoch zum Listbuilding tun?
Komplett darauf zu verzichten, ist ja wohl keine Option.
Diese Meinung vertritt auch Rechtsanwältin Sabrina Keese-Haufs in diesem sehr interessanten Video zum Kopplungsverbot:
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenEbooks, Checklisten, CheatSheets und andere PDFs können direkt runtergeladen werden und bieten laut DSGVO keine Notwendigkeit, die E-Mail-Adresse abzufragen. Stichpunkt: Datenminimierung!
Für Listbuilding ohne Verstoß gegen das Kopplungsverbot, bleiben dir dennoch einige Möglichkeiten:
Du kannst beispielsweise aus einem vorhandenen Ebook einen kostenlosen Mini-Online-Kurs oder einen E-Mail-Kurs erstellen.
Dafür ist die E-Mail-Adresse nötig und gerechtfertigt.
WICHTIG: Du darfst diese E-Mail-Adresse aber nicht zum Newsletter-Versand nutzen.
Allerdings kannst du am Ende des Kurses nachfragen, wie der Kurs denn gefallen hat, ob es noch Fragen oder Anregungen dazu gibt...
Und da kannst du bspw. hinzufügen: "Wenn du weitere Infos, Tipps und Angebote von mir möchtest, trage dich doch bitte in meinen Newsletter ein."
Jetzt hast du beides voneinander entkoppelt. Die Anmeldung zum Newsletter ist freiwillig, weil die Einwilligung nicht an den Kurs gebunden ist.
Die Eintragsquote in den Newsletter wird sicher geringer ausfallen als bisher. Allerdings sind das dann Leute, die sich nicht nur eintragen, um dein Freebie zu bekommen.
Eine andere Alternative ist weiterhin die altbekannte Squeeze-Page.
Allerdings musst du eine Checkbox hinzufügen, die für den zusätzlichen Eintrag in den Newsletter angeklickt werden kann.
Natürlich musst du den Download, Kurs etc. unabhängig vom Eintrag in den Newsletter zur Verfügung stellen.
Damit die Einwilligung wirksam ist, musst du beim Eintrags-Formular bzw. der Checkbox deine Newsletter-Informationen dazuschreiben.
Etwa: "Trage dich zusätzlich in meinen wöchentlichen Newsletter mit Informationen, Tipps und Angeboten zum Thema XYZ ein."
Das ist nötig wegen der von der DSGVO geforderten Transparenz.
WAS IST MIT DEINEN KUNDEN?
Auch an deine Kunden darfst du nicht ohne Einwilligung deinen Newsletter schicken.
Allerdings kannst du deine Kunden innerhalb von 7-14 Tagen nochmal anschreiben und fragen, wie ihnen dein Produkt/Service gefallen hat.
Einmal darfst du den Kunden noch kontaktieren und bei dieser Gelegenheit kannst du zusätzlich auf deinen Newsletter hinweisen und zum Eintragen auffordern.
Auch hier greift das Kopplungsverbot nicht, da deine Kunden dein Produkt ja bereits haben und ein Eintrag in deinen Newsletter freiwillig ist.
Welche Auswirkungen hat das Kopplungsverbot auf die Freebies und das Listbuilding?
Die einen sagen: "Jetzt geht gar nichts mehr!"
Die anderen: "Alles kein Problem, es kommt nur auf die Semantik an."
Meine Meinung dazu: Weitermachen wie bisher ist zu riskant. Aufgeben ist auch keine Option. Versuchen wir also das Beste aus den verbliebenen Möglichkeiten zu machen.
Natürlich hoffe ich auf eine softere Auslegung des Kopplungsverbots für die Zukunft, da Email-Adressen schließlich eine feste Währung im Online Marketing darstellen.
Vorerst würde ich jedoch nichts riskieren und das Kopplungsverbot ernst nehmen. Es sei denn, es kommen in absehbarer Zeit Urteile, die eine softere Auslegung bestätigen.
Listbuilding wird also mit Sicherheit schwieriger.
Aber da für uns Online Marketer ein kompletter Verzicht einfach nicht in Frage kommen kann, bin ich gespannt auf neue kreative Wege!
Aktuelle Studie: Deutsche Unternehmen schlecht auf DSGVO vorbereitet +
Laut einer Studie von absolit Dr. Schwarz Consulting sind die deutschen Unternehmen Großteils immer noch nicht DSGVO-Ready.
Diese Grafik von Statista.de macht deutlich, dass von den 606 befragten Unternehmen gerade mal 13 % ihre Prozesse an die neue EU-Datenschutz-Grundverordnung angepasst haben.
Noch erschreckender: 27 % der befragten Unternehmen haben bisher noch nicht damit begonnen.
Während in der Online Marketing- und Blogger-Szene die DSGVO seit Monaten heiß diskutiert wird und die Anpassungen auf Hochtouren laufen, sind andere Branchen da wohl noch weit davon entfernt.
Das merke ich selbst auch häufig in Gesprächen mit kleinen Unternehmen, die offline tätig sind. Da kommt selbst jetzt - so kurz vor der Deadline - noch häufig die Gegenfrage: DSG-WAS?
Bist du noch unsicher, ob du alle Anpassungen für die DSGVO erledigt hast?
Dann hilft dir vermutlich die kostenlose Lastminute-Checkliste von RAin Sabrina Keese-Haufs weiter. Du kannst sie dir hier downloaden.
Hilfreiche Links zur DSGVO
Die EU-Datenschutz-Grundverordnung (DSGVO) findest du hier.
ADV-Verträge für Blogger & Online-Unternehmer: Liste mit Hostern, Newsletter-Tools etc. von Finn Hillebrandt auf blogmojo.de
Auf datenschmutz.net hat Ritchie Pettauer eine DSGVO Checkliste für Blogger veröffentlicht.
RA Dr. Ronald Kandelhart informiert auf LetsSeeWhatWorks.com: DSGVO - Wie du dein Business auf die neue Datenschutz Grundverordnung vorbereitest
Jonas Tietgen hat eine umfassende WordPress Plugins DSGVO Liste mit Lösungen, Maßnahmen und Alternativen veröffentlicht.
Tina Gallinaro auf socialmedia-betreuung.de: Wie setze ich die Anforderungen der DSGVO für meine Website um?
Martina Honecker hat diesen Beitrag veröffentlicht: DSGVO für Blogger und Websitebetreiber – das musst Du wissen
Facebook-Gruppen zur DSGVO
Diesen (DSGVO) Facebook-Gruppen bin ich beigetreten, um mich mit anderen zu diesem Thema auszutauschen:
Sabrina von der Kanzlei Keese-Haufs hat die FB-Gruppe DSGVO und Online Marketing Recht gegründet.
DSGVO für Blogger & Online-Unternehmer ist die Facebook-Gruppe von Finn Hillebrandt.
Achim Schmidt vom Datenschutzbuero.online hat die Facebook-Gruppe Datenschutz - einfach gemacht gegründet.
Mein Fazit zur DSGVO
Die DSGVO wird uns noch eine ganze Weile schwer beschäftigen.
Zum einen sind da die zusätzlichen Maßnahmen, die wir als Online Marketer und Blogger ergreifen müssen. Zum anderen die Unsicherheit, die vielerorts noch vorhanden ist.
Die meisten Blogger und Marketer wollen ja alles richtig machen, zwischendurch hapert es aber an der Möglichkeit zur Umsetzung.
Wie stehst du zur DSGVO?
Hast du bereits alles umgesetzt oder hängt auch bei dir noch einiges in der Schwebe?
Ich freue mich auf deine Meinung und dein Feedback!
Weitersagen ausdrücklich erwünscht ;-)
