Na, hast du auch schon Panik vor dem 25. Mai, wenn die DSGVO inkrafttritt? Keine Sorge! Ja, es bedarf in etwa so viel Arbeit wie deinen ersten Roman zu überarbeiten, um deine Website rechtskonform zu machen, aber hey: Du hast schon ganz andere Dinge geschafft.

DISCLAIMER: Dieser Artikel ist eine Zusammenfassung von Recherche-Ergebnissen und keine Rechtsberatung. Um sicherzugehen, kontaktiere bitte einen Anwalt, der sich auf Datenschutz spezialisiert hat. Ich hafte für nichts.
 

 

Was ist die DSGVO?

Die Datenschutzgrundverordnung (DSGVO), im Englischen GDPR (General Data Protection Regulation), ist die EU-weite Verordnung über den Umgang mit personenbezogenen Daten. Es dient dir als Nutzer einer Webseite zur Sicherheit, denn du weißt dank dieser Verordnung genau, welche deiner Daten auf einer Webseite gespeichert und weiterverarbeitet werden und kannst ggf. dagegen widersprechen.

 

Warum ist die DSGVO für mich wichtig?

Für dich als Autor oder Autorin, der/die du eine Website unterhältst, bedeutet es, dass du deine Nutzer darüber aufklären musst, welche Daten verarbeitet werden. Das heißt beispielsweise, dass du deutlich machst, dass der Name und die E-Mail-Adresse gespeichert werden, wenn sich jemand in deinen Newsletter einträgt, oder dass du Analysetools benutzt, die die IP-Adresse deiner Nutzer zu speichern, damit du sehen kannst, wann deine Seite besonders häufig frequentiert wird.

Damit du dieser Verordnung nachkommst, brauchst du eine rechtssichere Datenschutzerklärung auf deiner Webseite.

Übrigens: Natürlich war eine Datenschutzerklärung bisher sowieso Pflicht und ich gehe davon aus, dass du eine besitzt, die du jetzt optimieren möchtest.

 

Alles halb so wild: Worauf musst du achten?

Wir Autoren kommen in der Regel ganz gut mit der Umsetzung zurecht, weil wir kaum Dienste auf unseren Webseiten anbieten, die personenbezogene Daten speichern. Dennoch müssen wir natürlich einige Dinge unter die Lupe nehmen.

Ich orientiere mich bei diesem Artikel an den Recherche-Ergebnissen von Martina Honecke, die hier einen wunderbaren Leitfaden geschrieben hat, den du dir auch mal durchlesen kannst.

 

Kekse, bitte!

Cookies sind kleine Textdateien, die auf dem Computer des Nutzers gespeichert werden, um ihn bei einem erneuten Besuch deiner Webseite wiederzuerkennen. Das bedeutet beispielsweise, dass dein Nutzer automatisch bei Facebook eingeloggt ist und somit auch mit seinem Facebook-Konto kommentieren kann, ohne sich erneut einzuloggen (falls du die Möglichkeit bietest, dass man mit seinem Facebook-Account kommentieren kann).

Du kennst sicherlich schon diese Banner, die auf fast jeder Webseite aufploppen und dich über die Nutzung von Cookies informieren. Da deine Webseite höchstwahrscheinlich auch Cookies speichert, bindest du am besten einen ebensolchen Banner ein. Ich benutze dafür das Plugin WP Cookie Choice.

 

Drittanbieter: Hier wird es knifflig

Das eigentlich Abschreckende an der DSGVO ist, dass du dich damit auseinandersetzen musst, mit wem du eigentlich alles wissentlich oder unwissentlich zusammenarbeitest.

Ich finde den Datenschutz-Generator von Rechtsanwalt Dr. Thomas Schwenke dafür sehr hilfreich. Du solltest ihn allerdings so anpassen, dass er für dich passt.

Im Folgenden habe ich die Dienste aufgeführt, die für die meisten Autoren relevant sein dürften:

Google Analytics

Wenn du deine Seite mit Google analysierst, brauchst du unbedingt ein so genanntes Auftragsverarbeitungsabkommen mit Google und solltest die Daten anonymisieren lassen (das galt allerdings auch schon vor der DSGVO). Falls du diesen Vertrag vor September 2016 geschlossen hast, erneuere ihn am besten, da es eine rechtliche Änderung gab (mehr dazu hier).

Den Vertrag kannst du hier herunterladen. Unterschreibe auf Seite 2 und 14 und schicke den Vertrag in doppelter Ausfertigung an

Contract Administration Department
Google Ireland Ltd
Gordon House
Barrow Street
Dublin 4
Irland.

 

Ab dem 25. Mai ist es auch möglich, dieses Abkommen online einzugehen. Vorher ist das noch nicht erlaubt.
Du findest es dann, wenn du dich bei Google Analytics einloggst, links unten bei „Verwaltung“ > Kontoeinstellungen klickst und am Ende der Seite das Abkommen online abschließt.

Außerdem ist es notwendig, die IP-Adressen zu anonymisieren. Ich empfehle dir, die ganze Analytics-Sache mit Hilfe eines geeigneten Plugins zu machen, wenn du dich nicht mit Coden auskennst. Bei dem Plugin von Google selbst, aber auch z.B. bei dem Plugin „Google Analytics for WordPress by MonsterInsights“ kannst du die Anonymisierung in den Einstellungen aktivieren.

In der Datenschutzerklärung sollte dann ein entsprechender Hinweis sein.

 

Facebook Pixel

Wenn du dich ein bisschen mit Facebook-Werbung auseinandergesetzt hast, dann weißt du, dass du einen Facebook-Pixel setzen kannst, um deine Werbung besser analysieren zu können. Mit dem Facebook-Pixel kannst du beispielsweise herausfinden, wie viele Personen innerhalb von Facebook auf einen Werbelink zu deiner Seite geklickt haben und was die dann dort gemacht haben.

Aus Sicht eines Onlinemarketing-Menschen ist das eine super Sache. Aus Nutzersicht kann man sich etwas verfolgt fühlen. Deshalb musst du, wenn du den Facebook-Pixel benutzt, dies in deiner Datenschutzerklärung erwähnen. Außerdem (auch das galt schon immer) solltest du deine Nutzer darauf hinweisen und sie einwilligen lassen (wie bei den Cookies).

Noch strengere Auflagen gibt es für das Nutzen der „Lookalike“- oder „Custom Audiences“-Optionen.

Zum gegenwärtigen Zeitpunkt würde ich sagen, dass der Nutzen den Aufwand für uns Autoren derzeit nicht aufwiegt und wir auf den Facebook-Pixel verzichten können. Wenn du dein Buch bewirbst, dann verlinkst du zu 99 % zu einem Shopanbieter wie Amazon oder Thalia, wo du mit dem Facebook-Pixel nichts ausrichten kannst, da du ihn nicht auf Amazon oder Thalia einbinden kannst (korrigiert mich, wenn ich falsch liege).

Wenn du auf deiner Webseite einen eigenen Shop betreibst, sieht das eventuell anders aus. Da dies aber nicht die Mehrheit der Leser dieses Blogs betrifft, gehe ich darauf nicht weiter ein.

Mehr zum Einsatz des Facebook-Pixels findest du hier und hier.

 

Newsletter-Anbieter

Fast jeder Autor versucht sich irgendwann einmal an einem Newsletter. Da hier Daten erhoben werden – mindestens ja die E-Mail-Adresse des Nutzers – ist auch dies ein Fall für die Datenschutzerklärung.

Schon jetzt ist es notwendig, dass dein Leser seine ausdrückliche Zustimmung erteilen muss, dass du ihm E-Mails an seine Adresse senden darfst. Das erfolgt in aller Regel durch das so genannte Double Opt-In: Der Leser gibt seine E-Mail-Adresse ein und bestätigt dann noch einmal aktiv mit einem Link auf einen Klick in einer ihm zugesandten E-Mail, dass er sich zu deinem Newsletter anmelden möchte (ich habe das Thema Newsletter-Marketing für Romanautoren bereits in diesem Artikel ausführlich behandelt).

Es ändert sich nicht viel im Zuge der DSGVO. Empfehlenswert ist, dass du in deinem Anmeldeformular vermerkst, wohin die Daten übertragen werden, zum Beispiel: „Deine E-Mail-Adresse wird an den Newsletter-Anbieter XYZ zum technischen Versand übermittelt. Mehr Informationen findest du in der Datenschutzerklärung.“

Außerdem solltest du ein Auftragsabkommen mit dem Anbieter, den du nutzt, abmachen. Für MailChimp findest du das hier.

 

ACHTUNG! Wichtige Änderung!
Es gibt eine Neuerung bei Newslettern, die dich womöglich betrifft!

Bisher war es in Ordnung, so genannte „Freebies“ anzubieten, also beispielsweise eine kostenlose Kurzgeschichte. Im Gegenzug hat sich dein Leser in deinen Newsletter eingetragen oder dir mit einem eigenen Opt-In seine E-Mail-Adresse übermittelt.

Das ist nicht mehr erlaubt.

Yvonne von Mohntage hat das gut erklärt. Kurz gesagt: Es ist ab dem 25. Mai nicht mehr erlaubt, Freebies anzubieten und dafür die E-Mail-Adresse einzufordern, außer du bietest einen E-Mail-Kurs an (was bei uns Autoren eigentlich nie der Fall ist).

Ob sich dieses Verbot noch lockert, wird sich in der Zukunft zeigen.

Fakt ist, dass sich ein Nutzer nur für das anmelden soll, was er auch versprochen bekommt, und kostenlose Dinge dürfen nicht mehr mit Daten bezahlt werden. Heißt: Wenn sich jemand für deine Kurzgeschichte anmeldet, darf er nicht deinem regulären Newsletter hinzugefügt werden (was bisher immer für uns kleine Autoren eine tolle Möglichkeit war, um den Newsletter wachsen zu lassen).

 

Dein Webhoster

Sobald ein Besucher auf deine Seite kommt, werden Daten von deinem Server-Anbieter gespeichert. Auch mit ihm solltest du daher ein entsprechendes Abkommen unterzeichnen. Leider sind derzeit noch nicht alle Dienste auf dem neuesten Stand, so ergab eine Anfrage bei „all-inkl.com“ beispielsweise, dass sie derzeit noch an einem solchen Abkommen arbeiten und es den Nutzern bis Ende Mai zur Verfügung stellen wollen.

Frage also explizit bei deinem Hoster nach, ob es bereits einen Vertrag gibt, den du mit ihnen abschließen kannst.

 

Dropbox und andere Cloud-Anbieter

Wenn du dein Webseiten-Backup (oder andere Backups mit personenbezogenen Daten) in einer Cloud speicherst, muss auch das in deiner Erklärung herauszulesen sein.

 

Jetpack von WordPress und andere Plugins

Jetpack ist ein Plugin auf WordPress-Seiten, das dir sehr viele Dinge ermöglicht, unter anderem Statistiken.

 

Sharing-Buttons

Wer hat sie nicht, die Sharing-Buttons? Schon seit langem sind sie datenschutzrechtlich in der Diskussion und liegen in einer Grauzone. Rechtskonform sind sie nur, wenn die Daten des Nutzers erst übermittelt werden, wenn er auf den entsprechenden Button geklickt hat (die meisten Plugins sammeln sofort z.B. die IP-Adresse, sobald der Nutzer auf deiner Seite landet).

Datenschutz-sicher ist das Plugin „Shariff„.

 

Kontaktformulare und Kommentare

Ganz ehrlich: Würde ich einfach weglassen. Wer mit dir in Kontakt treten will, kann dir eine E-Mail schicken.

Das Plugin WP GDPR Compliance ist dir behilflich, Kontaktformulare von „Contact Form 7“ und „Gravity Forms“ zu managen. Außerdem kannst du damit deine Kommentarfunktion rechtsgültig absichern: Der Nutzer wird hierbei dazu aufgefordert, aktiv seine Einwilligung zur Übermittlung der Daten zu erteilen.

Wenn du willst, dass deine Leser die Kommentare abonnieren können – also informiert werden, wenn es neue Kommentare zu diesem Thema gibt – dann brauchst du ein Double Opt-In. Dieses Plugin hilft dir dabei. Am einfachsten ist es jedoch, das Abonnieren einfach zu deaktivieren, wenn es auf deiner Seite eh kaum genutzt wird.

Ob du in diesem Zuge die IP-Adressen löschst/anonymisierst oder aber speicherst, um dich beispielsweise rechtlich gegen Straftaten abzusichern, ist dir überlassen, da es hier noch keine Urteile gibt, ob dein Interesse, die Adresse zu speichern, größer ist als das Interesse des Nutzers, die Adresse nicht zu speichern. Was genau dahintersteckt, kannst du in diesem Artikel von „datenschutz.net“ nachlesen.

Wenn du dir nicht zutraust, selbst in der functions.php herumzudoktorn, kannst du dieses Plugin benutzen.
Ansonsten findest du den Code bei Martina.

 

Weitere Anbieter

Je nach dem, was man auf deiner Seite finden und machen kann, können weitere Drittanbieter ins Spiel kommen, mit denen du dich auseinandersetzen musst. Beispielsweise kann es sein, dass du ein Kalender-Tool benutzt, über das man sich zu deiner nächsten Lesung anmelden kann.

Überall dort, wo Daten erhoben werden, ist eine Eintragung in deine Datenschutzerklärung von Nöten. Sicherheitshalber solltest du außerdem entsprechende Verträge mit den Anbietern eingehen. Im Einzelfall musst du allerdings selbst prüfen (oder Google fragen), ob dieses oder jene Plugin Daten erhebt oder nicht. Hier findest du bereits eine Liste mit mehr als 120 Plugins dazu.

Relevant für einzelne Autoren könnten beispielsweise Services wie Leadpages sein, mit dem man Verkaufsseiten erstellt.

 

YouTube-Videos einbinden

Viele Autoren spielen entweder mit dem Gedanken, Lesungsvideos bei YouTube hochzuladen, oder machen es bereits aktiv.  YouTube „sammelt“ allerdings Cookies (siehe oben), wenn ein Video bei dir eingebettet ist, und das ist datenschutzrechtlich bedenklich.

Wenn du diese Videos (oder auch deine Buchtrailer) rechtskonform auf deiner Webseite einbinden willst, dann solltest du den „erweiterten Datenschutzmodus“ aktivieren. Das geht so:

Wenn du auf YouTube bist und dein Video einbetten willst, klickst du zunächst auf „Teilen“ und dann auf „Einbetten“:

YouTube Video DSVGO sicher einbetten

 

Anschließend aktivierst du das Kästchen „Erweiterten Datenschutzmodus aktivieren“:

YouTube Video sicher einbetten

 

Dann kopierst du den Code und fügst ihn auf deiner Seite ein.

Leider musst du alle Videos, die mit diesem „iFrame“ eingebettet sind, händisch nachbessern.

Alternativ kannst du das Plugin „Lazy Load for Videos“ benutzen, das nur Daten überträgt, wenn dein Leser aktiv das Video anklickt.

Egal, welche Variante du verwendest, du musst in deiner Datenschutzerklärung einfügen, dass du Videos einbettest. Ein Muster findest du hier.

 

Woher weiß ich, welche Plugins Tracker verwenden?

Ich habe bei socialmedia-betreuung.de die Chrome-Erweiterung „Privacy Badger“ entdeckt, installiert und gleich 23 Dienste gefunden, die auf meiner Seite Cookies oder Trackingdateien setzen. Somit weiß ich, um wen ich mich da alles kümmern muss 😉

Schreib doch mal in die Kommentare, welche Varianten es noch gibt!

 

Keine Panik

Matthias Matting von der Selfpublisherbibel hat neulich bereits in seinem Artikel darauf hingewiesen, dass die meisten Dinge, auf die du achten musst, gar nicht neu sind – sie rücken nur jetzt ins Bewusstsein.

Deine Seite war vermutlich auch schon vor der DSGVO nicht rechtskonform. Solltest du nicht alles bis Ende Mai umgesetzt haben, bist du also auf dem gleichen Stand wie jetzt 😉 Keine sehr empfehlenswerte Sichtweise, aber sie nimmt dir etwas die Panik, hoffe ich.

Arbeite einfach die Punkte ab, die hier genannt wurden und orientiere dich auch an anderen Checklisten wie der von Martina Honecker oder der von Janneke von Blogyourthing.

 

Deine To-Do-Liste

  • Kaffee bereitstellen, sich Zeit nehmen, konzentriert arbeiten können.
  • Überlege dir, wo auf deiner Seite Daten erhoben werden: Blogkommentare, Kontaktformular, Newsletter-Opt-in, Google Analytics, Cookies, diverse Plugins, …
  • Gehe alle Plugins durch, ob sie Daten verarbeiten. Diese Liste hilft dir dabei.
    • Nutze Sharing-Plugins, die rechtskonform sind
    • Verabschiede dich in diesem Zuge von Plugins, die du nicht wirklich brauchst
  • Schließe Auftragsverarbeitungsabkommen mit den Unternehmen ab, die in Frage kommen (Google, dein Hoster, dein Newsletter-Anbieter, …)
  • Anonymisiere die IP-Adressen, wenn du Google Analytics nutzt
  • Richte ein, dass deine Leser explizit der Übertragung ihrer Daten bei Kommentaren zustimmen müssen (z.B. mit dem Plugin WP GPDR Compliance)
    • Überlege dir, wie du mit IP-Adressen in Kommentaren verfahren willst (siehe oben)
      • Achtung: Wenn du die IP löschst/anonymisierst, musst du alle Kommentare manuell freischalten.
  • Richte ein, dass deine Leser explizit der Übertragung ihrer Daten bei Formularen zustimmen müssen (z.B. mit dem Plugin WP GPDR Compliance)
  • Richte einen Cookie-Hinweis ein (z.B. mit Cookie Notice)
  • Richte einen Hinweis für Google Analytics und ggf. Facebook Pixel ein
  • Aktualisiere dein Impressum, wenn du schon dabei bist
  • Deaktiviere die Gravatare (WordPress Einstellungen > Diskussion, unten bei „Avatare“)
  • Deaktiviere Emojis mit Hilfe dieses Artikels
  • Deaktiviere deine Freebies oder stelle sie zur freien Verfügung (empfohlen)
  • Neuen Kaffee holen
  • Erstelle dir eine neue Datenschutzhinweis-Seite mit dem Generator
    • Individualisiere die Seite nach deinen Bedürfnissen!
  • Abwarten.

 

Es ist derzeit so, dass ständig neue Artikel mit neuen Sichtweisen veröffentlicht werden, die dieses oder jenes raten. Am 25. Mai werden nicht schlagartig drölfzig Abmahnungen verschickt, erst recht nicht an „kleine Autoren wie uns“ 😉

Lass dich nicht von den anderen mit der Panik anstecken, sondern arbeite zuerst einmal die oben genannten Punkte ab (steht bei mir übrigens auch auf der To-Do-Liste).

Wenn du möchtest (und ich empfehle es ausdrücklich), lies dich auch durch andere DSGVO-Artikel:

Blogyourthing über DSGVO

Checkliste von Blogmojo

Generelles über die DSGVO bei t3n

DSGVO für Blogger von reisen-fotografie.de

 

Leider wird im Zuge der DSGVO allem Anschein nach die Nutzung des Pin-it-Buttons von Pinterest nicht mehr erlaubt sein, deshalb: Wenn dir der Artikel gefallen hat, verlinke ihn auf Pinterest, indem du ganz unten auf das „P“ klickst!