Na, hast du auch schon Panik vor dem 25. Mai, wenn die DSGVO inkrafttritt? Keine Sorge! Ja, es bedarf in etwa so viel Arbeit wie deinen ersten Roman zu überarbeiten, um deine Website rechtskonform zu machen, aber hey: Du hast schon ganz andere Dinge geschafft.
[su_note note_color=”#ff4545″ text_color=”#000000″]DISCLAIMER: Dieser Artikel ist eine Zusammenfassung von Recherche-Ergebnissen und keine Rechtsberatung. Um sicherzugehen, kontaktiere bitte einen Anwalt, der sich auf Datenschutz spezialisiert hat. Ich hafte für nichts.[/su_note]
Was ist die DSGVO?
Die Datenschutzgrundverordnung (DSGVO), im Englischen GDPR (General Data Protection Regulation), ist die EU-weite Verordnung über den Umgang mit personenbezogenen Daten. Es dient dir als Nutzer einer Webseite zur Sicherheit, denn du weißt dank dieser Verordnung genau, welche deiner Daten auf einer Webseite gespeichert und weiterverarbeitet werden und kannst ggf. dagegen widersprechen.
Warum ist die DSGVO für mich wichtig?
Für dich als Autor oder Autorin, der/die du eine Website unterhältst, bedeutet es, dass du deine Nutzer darüber aufklären musst, welche Daten verarbeitet werden. Das heißt beispielsweise, dass du deutlich machst, dass der Name und die E-Mail-Adresse gespeichert werden, wenn sich jemand in deinen Newsletter einträgt, oder dass du Analysetools benutzt, die die IP-Adresse deiner Nutzer zu speichern, damit du sehen kannst, wann deine Seite besonders häufig frequentiert wird.
Damit du dieser Verordnung nachkommst, brauchst du eine rechtssichere Datenschutzerklärung auf deiner Webseite.
Übrigens: Natürlich war eine Datenschutzerklärung bisher sowieso Pflicht und ich gehe davon aus, dass du eine besitzt, die du jetzt optimieren möchtest.
Alles halb so wild: Worauf musst du achten?
Wir Autoren kommen in der Regel ganz gut mit der Umsetzung zurecht, weil wir kaum Dienste auf unseren Webseiten anbieten, die personenbezogene Daten speichern. Dennoch müssen wir natürlich einige Dinge unter die Lupe nehmen.
Ich orientiere mich bei diesem Artikel an den Recherche-Ergebnissen von Martina Honecke, die hier einen wunderbaren Leitfaden geschrieben hat, den du dir auch mal durchlesen kannst.
Kekse, bitte!
Cookies sind kleine Textdateien, die auf dem Computer des Nutzers gespeichert werden, um ihn bei einem erneuten Besuch deiner Webseite wiederzuerkennen. Das bedeutet beispielsweise, dass dein Nutzer automatisch bei Facebook eingeloggt ist und somit auch mit seinem Facebook-Konto kommentieren kann, ohne sich erneut einzuloggen (falls du die Möglichkeit bietest, dass man mit seinem Facebook-Account kommentieren kann).
Du kennst sicherlich schon diese Banner, die auf fast jeder Webseite aufploppen und dich über die Nutzung von Cookies informieren. Da deine Webseite höchstwahrscheinlich auch Cookies speichert, bindest du am besten einen ebensolchen Banner ein. Ich benutze dafür das Plugin WP Cookie Choice.
Drittanbieter: Hier wird es knifflig
Das eigentlich Abschreckende an der DSGVO ist, dass du dich damit auseinandersetzen musst, mit wem du eigentlich alles wissentlich oder unwissentlich zusammenarbeitest.
Ich finde den Datenschutz-Generator von Rechtsanwalt Dr. Thomas Schwenke dafür sehr hilfreich. Du solltest ihn allerdings so anpassen, dass er für dich passt.
Im Folgenden habe ich die Dienste aufgeführt, die für die meisten Autoren relevant sein dürften:
Google Analytics
Wenn du deine Seite mit Google analysierst, brauchst du unbedingt ein so genanntes Auftragsverarbeitungsabkommen mit Google und solltest die Daten anonymisieren lassen (das galt allerdings auch schon vor der DSGVO). Falls du diesen Vertrag vor September 2016 geschlossen hast, erneuere ihn am besten, da es eine rechtliche Änderung gab (mehr dazu hier).
Den Vertrag kannst du hier herunterladen. Unterschreibe auf Seite 2 und 14 und schicke den Vertrag in doppelter Ausfertigung an
Contract Administration Department
Google Ireland Ltd
Gordon House
Barrow Street
Dublin 4
Irland.
Ab dem 25. Mai ist es auch möglich, dieses Abkommen online einzugehen. Vorher ist das noch nicht erlaubt.
Du findest es dann, wenn du dich bei Google Analytics einloggst, links unten bei “Verwaltung” > Kontoeinstellungen klickst und am Ende der Seite das Abkommen online abschließt.
Außerdem ist es notwendig, die IP-Adressen zu anonymisieren. Ich empfehle dir, die ganze Analytics-Sache mit Hilfe eines geeigneten Plugins zu machen, wenn du dich nicht mit Coden auskennst. Bei dem Plugin von Google selbst, aber auch z.B. bei dem Plugin “Google Analytics for WordPress by MonsterInsights” kannst du die Anonymisierung in den Einstellungen aktivieren.
In der Datenschutzerklärung sollte dann ein entsprechender Hinweis sein.
Facebook Pixel
Wenn du dich ein bisschen mit Facebook-Werbung auseinandergesetzt hast, dann weißt du, dass du einen Facebook-Pixel setzen kannst, um deine Werbung besser analysieren zu können. Mit dem Facebook-Pixel kannst du beispielsweise herausfinden, wie viele Personen innerhalb von Facebook auf einen Werbelink zu deiner Seite geklickt haben und was die dann dort gemacht haben.
Aus Sicht eines Onlinemarketing-Menschen ist das eine super Sache. Aus Nutzersicht kann man sich etwas verfolgt fühlen. Deshalb musst du, wenn du den Facebook-Pixel benutzt, dies in deiner Datenschutzerklärung erwähnen. Außerdem (auch das galt schon immer) solltest du deine Nutzer darauf hinweisen und sie einwilligen lassen (wie bei den Cookies).
Noch strengere Auflagen gibt es für das Nutzen der “Lookalike”- oder “Custom Audiences”-Optionen.
Zum gegenwärtigen Zeitpunkt würde ich sagen, dass der Nutzen den Aufwand für uns Autoren derzeit nicht aufwiegt und wir auf den Facebook-Pixel verzichten können. Wenn du dein Buch bewirbst, dann verlinkst du zu 99 % zu einem Shopanbieter wie Amazon oder Thalia, wo du mit dem Facebook-Pixel nichts ausrichten kannst, da du ihn nicht auf Amazon oder Thalia einbinden kannst (korrigiert mich, wenn ich falsch liege).
Wenn du auf deiner Webseite einen eigenen Shop betreibst, sieht das eventuell anders aus. Da dies aber nicht die Mehrheit der Leser dieses Blogs betrifft, gehe ich darauf nicht weiter ein.
Mehr zum Einsatz des Facebook-Pixels findest du hier und hier.
Newsletter-Anbieter
Fast jeder Autor versucht sich irgendwann einmal an einem Newsletter. Da hier Daten erhoben werden – mindestens ja die E-Mail-Adresse des Nutzers – ist auch dies ein Fall für die Datenschutzerklärung.
Schon jetzt ist es notwendig, dass dein Leser seine ausdrückliche Zustimmung erteilen muss, dass du ihm E-Mails an seine Adresse senden darfst. Das erfolgt in aller Regel durch das so genannte Double Opt-In: Der Leser gibt seine E-Mail-Adresse ein und bestätigt dann noch einmal aktiv mit einem Link auf einen Klick in einer ihm zugesandten E-Mail, dass er sich zu deinem Newsletter anmelden möchte (ich habe das Thema Newsletter-Marketing für Romanautoren bereits in diesem Artikel ausführlich behandelt).
Es ändert sich nicht viel im Zuge der DSGVO. Empfehlenswert ist, dass du in deinem Anmeldeformular vermerkst, wohin die Daten übertragen werden, zum Beispiel: “Deine E-Mail-Adresse wird an den Newsletter-Anbieter XYZ zum technischen Versand übermittelt. Mehr Informationen findest du in der Datenschutzerklärung.”
Außerdem solltest du ein Auftragsabkommen mit dem Anbieter, den du nutzt, abmachen. Für MailChimp findest du das hier.
[su_note note_color=”#ff4545″ text_color=”#000000″]ACHTUNG! Wichtige Änderung![/su_note]
Es gibt eine Neuerung bei Newslettern, die dich womöglich betrifft!
Bisher war es in Ordnung, so genannte “Freebies” anzubieten, also beispielsweise eine kostenlose Kurzgeschichte. Im Gegenzug hat sich dein Leser in deinen Newsletter eingetragen oder dir mit einem eigenen Opt-In seine E-Mail-Adresse übermittelt.
Das ist nicht mehr erlaubt.
Yvonne von Mohntage hat das gut erklärt. Kurz gesagt: Es ist ab dem 25. Mai nicht mehr erlaubt, Freebies anzubieten und dafür die E-Mail-Adresse einzufordern, außer du bietest einen E-Mail-Kurs an (was bei uns Autoren eigentlich nie der Fall ist).
Ob sich dieses Verbot noch lockert, wird sich in der Zukunft zeigen.
Fakt ist, dass sich ein Nutzer nur für das anmelden soll, was er auch versprochen bekommt, und kostenlose Dinge dürfen nicht mehr mit Daten bezahlt werden. Heißt: Wenn sich jemand für deine Kurzgeschichte anmeldet, darf er nicht deinem regulären Newsletter hinzugefügt werden (was bisher immer für uns kleine Autoren eine tolle Möglichkeit war, um den Newsletter wachsen zu lassen).
Dein Webhoster
Sobald ein Besucher auf deine Seite kommt, werden Daten von deinem Server-Anbieter gespeichert. Auch mit ihm solltest du daher ein entsprechendes Abkommen unterzeichnen. Leider sind derzeit noch nicht alle Dienste auf dem neuesten Stand, so ergab eine Anfrage bei “all-inkl.com” beispielsweise, dass sie derzeit noch an einem solchen Abkommen arbeiten und es den Nutzern bis Ende Mai zur Verfügung stellen wollen.
Frage also explizit bei deinem Hoster nach, ob es bereits einen Vertrag gibt, den du mit ihnen abschließen kannst.
Dropbox und andere Cloud-Anbieter
Wenn du dein Webseiten-Backup (oder andere Backups mit personenbezogenen Daten) in einer Cloud speicherst, muss auch das in deiner Erklärung herauszulesen sein.
Jetpack von WordPress und andere Plugins
Jetpack ist ein Plugin auf WordPress-Seiten, das dir sehr viele Dinge ermöglicht, unter anderem Statistiken.
Sharing-Buttons
Wer hat sie nicht, die Sharing-Buttons? Schon seit langem sind sie datenschutzrechtlich in der Diskussion und liegen in einer Grauzone. Rechtskonform sind sie nur, wenn die Daten des Nutzers erst übermittelt werden, wenn er auf den entsprechenden Button geklickt hat (die meisten Plugins sammeln sofort z.B. die IP-Adresse, sobald der Nutzer auf deiner Seite landet).
Datenschutz-sicher ist das Plugin “Shariff“.
Kontaktformulare und Kommentare
Ganz ehrlich: Würde ich einfach weglassen. Wer mit dir in Kontakt treten will, kann dir eine E-Mail schicken.
Das Plugin WP GDPR Compliance ist dir behilflich, Kontaktformulare von “Contact Form 7” und “Gravity Forms” zu managen. Außerdem kannst du damit deine Kommentarfunktion rechtsgültig absichern: Der Nutzer wird hierbei dazu aufgefordert, aktiv seine Einwilligung zur Übermittlung der Daten zu erteilen.
Wenn du willst, dass deine Leser die Kommentare abonnieren können – also informiert werden, wenn es neue Kommentare zu diesem Thema gibt – dann brauchst du ein Double Opt-In. Dieses Plugin hilft dir dabei. Am einfachsten ist es jedoch, das Abonnieren einfach zu deaktivieren, wenn es auf deiner Seite eh kaum genutzt wird.
Ob du in diesem Zuge die IP-Adressen löschst/anonymisierst oder aber speicherst, um dich beispielsweise rechtlich gegen Straftaten abzusichern, ist dir überlassen, da es hier noch keine Urteile gibt, ob dein Interesse, die Adresse zu speichern, größer ist als das Interesse des Nutzers, die Adresse nicht zu speichern. Was genau dahintersteckt, kannst du in diesem Artikel von “datenschutz.net” nachlesen.
Wenn du dir nicht zutraust, selbst in der functions.php herumzudoktorn, kannst du dieses Plugin benutzen.
Ansonsten findest du den Code bei Martina.
Weitere Anbieter
Je nach dem, was man auf deiner Seite finden und machen kann, können weitere Drittanbieter ins Spiel kommen, mit denen du dich auseinandersetzen musst. Beispielsweise kann es sein, dass du ein Kalender-Tool benutzt, über das man sich zu deiner nächsten Lesung anmelden kann.
Überall dort, wo Daten erhoben werden, ist eine Eintragung in deine Datenschutzerklärung von Nöten. Sicherheitshalber solltest du außerdem entsprechende Verträge mit den Anbietern eingehen. Im Einzelfall musst du allerdings selbst prüfen (oder Google fragen), ob dieses oder jene Plugin Daten erhebt oder nicht. Hier findest du bereits eine Liste mit mehr als 120 Plugins dazu.
Relevant für einzelne Autoren könnten beispielsweise Services wie Leadpages sein, mit dem man Verkaufsseiten erstellt.
YouTube-Videos einbinden
Viele Autoren spielen entweder mit dem Gedanken, Lesungsvideos bei YouTube hochzuladen, oder machen es bereits aktiv. YouTube “sammelt” allerdings Cookies (siehe oben), wenn ein Video bei dir eingebettet ist, und das ist datenschutzrechtlich bedenklich.
Wenn du diese Videos (oder auch deine Buchtrailer) rechtskonform auf deiner Webseite einbinden willst, dann solltest du den “erweiterten Datenschutzmodus” aktivieren. Das geht so:
Wenn du auf YouTube bist und dein Video einbetten willst, klickst du zunächst auf “Teilen” und dann auf “Einbetten”:
Anschließend aktivierst du das Kästchen “Erweiterten Datenschutzmodus aktivieren”:
Dann kopierst du den Code und fügst ihn auf deiner Seite ein.
Leider musst du alle Videos, die mit diesem “iFrame” eingebettet sind, händisch nachbessern.
Alternativ kannst du das Plugin “Lazy Load for Videos” benutzen, das nur Daten überträgt, wenn dein Leser aktiv das Video anklickt.
Egal, welche Variante du verwendest, du musst in deiner Datenschutzerklärung einfügen, dass du Videos einbettest. Ein Muster findest du hier.
Woher weiß ich, welche Plugins Tracker verwenden?
Ich habe bei socialmedia-betreuung.de die Chrome-Erweiterung “Privacy Badger” entdeckt, installiert und gleich 23 Dienste gefunden, die auf meiner Seite Cookies oder Trackingdateien setzen. Somit weiß ich, um wen ich mich da alles kümmern muss 😉
Schreib doch mal in die Kommentare, welche Varianten es noch gibt!
Keine Panik
Matthias Matting von der Selfpublisherbibel hat neulich bereits in seinem Artikel darauf hingewiesen, dass die meisten Dinge, auf die du achten musst, gar nicht neu sind – sie rücken nur jetzt ins Bewusstsein.
Deine Seite war vermutlich auch schon vor der DSGVO nicht rechtskonform. Solltest du nicht alles bis Ende Mai umgesetzt haben, bist du also auf dem gleichen Stand wie jetzt 😉 Keine sehr empfehlenswerte Sichtweise, aber sie nimmt dir etwas die Panik, hoffe ich.
Arbeite einfach die Punkte ab, die hier genannt wurden und orientiere dich auch an anderen Checklisten wie der von Martina Honecker oder der von Janneke von Blogyourthing.
Deine To-Do-Liste
- Kaffee bereitstellen, sich Zeit nehmen, konzentriert arbeiten können.
- Überlege dir, wo auf deiner Seite Daten erhoben werden: Blogkommentare, Kontaktformular, Newsletter-Opt-in, Google Analytics, Cookies, diverse Plugins, …
- Gehe alle Plugins durch, ob sie Daten verarbeiten. Diese Liste hilft dir dabei.
- Nutze Sharing-Plugins, die rechtskonform sind
- Verabschiede dich in diesem Zuge von Plugins, die du nicht wirklich brauchst
- Schließe Auftragsverarbeitungsabkommen mit den Unternehmen ab, die in Frage kommen (Google, dein Hoster, dein Newsletter-Anbieter, …)
- Anonymisiere die IP-Adressen, wenn du Google Analytics nutzt
- Richte ein, dass deine Leser explizit der Übertragung ihrer Daten bei Kommentaren zustimmen müssen (z.B. mit dem Plugin WP GPDR Compliance)
- Überlege dir, wie du mit IP-Adressen in Kommentaren verfahren willst (siehe oben)
- Achtung: Wenn du die IP löschst/anonymisierst, musst du alle Kommentare manuell freischalten.
- Überlege dir, wie du mit IP-Adressen in Kommentaren verfahren willst (siehe oben)
- Richte ein, dass deine Leser explizit der Übertragung ihrer Daten bei Formularen zustimmen müssen (z.B. mit dem Plugin WP GPDR Compliance)
- Richte einen Cookie-Hinweis ein (z.B. mit Cookie Notice)
- Richte einen Hinweis für Google Analytics und ggf. Facebook Pixel ein
- Aktualisiere dein Impressum, wenn du schon dabei bist
- Deaktiviere die Gravatare (WordPress Einstellungen > Diskussion, unten bei “Avatare”)
- Deaktiviere Emojis mit Hilfe dieses Artikels
- Deaktiviere deine Freebies oder stelle sie zur freien Verfügung (empfohlen)
- Neuen Kaffee holen
- Erstelle dir eine neue Datenschutzhinweis-Seite mit dem Generator
- Individualisiere die Seite nach deinen Bedürfnissen!
- Abwarten.
Es ist derzeit so, dass ständig neue Artikel mit neuen Sichtweisen veröffentlicht werden, die dieses oder jenes raten. Am 25. Mai werden nicht schlagartig drölfzig Abmahnungen verschickt, erst recht nicht an “kleine Autoren wie uns” 😉
Lass dich nicht von den anderen mit der Panik anstecken, sondern arbeite zuerst einmal die oben genannten Punkte ab (steht bei mir übrigens auch auf der To-Do-Liste).
Wenn du möchtest (und ich empfehle es ausdrücklich), lies dich auch durch andere DSGVO-Artikel:
Generelles über die DSGVO bei t3n
DSGVO für Blogger von reisen-fotografie.de
Leider wird im Zuge der DSGVO allem Anschein nach die Nutzung des Pin-it-Buttons von Pinterest nicht mehr erlaubt sein, deshalb: Wenn dir der Artikel gefallen hat, verlinke ihn auf Pinterest, indem du ganz unten auf das “P” klickst!
Liebe Anika
Herzlichen Dank für die Anleitung. Echt hilfreich!
Das mit den Freebies finde ich richtig fies 🙁 Ich frage mich aber, wie das ist, wenn man z.B. anstatt sagt, man hat Freebies, dass Angemeldete in den “Member”-Bereich kommen und dort können sie gratis dies und das runterladen. Wäre das auch verboten? Dann würde natürlich das Freebie nicht die Eintrittspforte sein, sondern der Newsletter an sich. Dort würde man aber erwähnen, dass die Anmeldung mehr Inhalte der Website sichtbar macht (also auch das Freebie). Oder ist das rechtlich das Gleiche wie direkt über das Freebie?
2. Idee: das Freebie am Ende des Buches ankündigen, aber nicht auf der Website. Wär das eine Grauzone?
Hallo Nicole!
Ich verstehe es so, dass beide Varianten nicht möglich sind, sofern das Freebie kein Online- oder E-Mail-Kurs oder eine andere Dienstleistung ist.
Hintergrund ist, dass E-Mail-Adressen nur noch einem bestimmten Zweck gesammelt werden dürfen. Heißt: Wenn sich jemand für deinen Member-Bereich anmeldet, darfst du ihm trotzdem keine Newsletter-Mails schicken oder ihn anderweitig kontaktieren, denn er hat die Adresse nur weitergegeben, um in den Bereich zu kommen. Aber warum sollte man dann einen Member-Bereich machen, wenn du mit den Leuten nicht in Kontakt treten darfst?
Man kann ein Freebie anbieten und optional anbieten, in diesem Zuge den Newsletter zu abonnieren. Das scheint erlaubt zu sein.
Was anscheinend auch geht (aber nicht für Bücher/Kurzgeschichten wegen Buchpreisbindung!!!) ist, dass man ein Produkt zum Kauf anbietet ODER kostenlos gegen E-Mail-Adresse, sodass der Leser entscheiden kann: Zahle ich mit Geld oder meinen Daten? (Wie gesagt: Wenn man eine Kurzgeschichte oder etwas Vergleichbares anbietet, wird es knifflig).
Erst die Rechtsprechung wird wohl in den kommenden Monaten Licht in die Sache bringen 😉
Hallo Nicole! Hallo Annika!
Der entscheidende Punkt ist, du darfst deinen Besuchern nur genau das geben, worum sie gebeten haben. Also du darfst sie nicht, weil sie deine Freebies lesen möchten, auch gleich mit deinem Newsletter zwangsbeglücken (weil du dafür seine Daten länger speichern müsstest und genau um die Datenspeicherung geht es ja).
Du kannst aber sehr wohl ein Formular einrichten, mit dem die Besucher dein Freebie bestellen können und wo du gleichzeitig die Möglichkeit einbaust, sich bewusst für oder gegen den Newsletter zu entscheiden. Hier ist ganz wichtig: das Feld darf nicht vorab angekreuzt sein, der Besucher muss selber draufklicken, um es zu aktivieren.
Entscheidet sich der Besucher gegen den Newsletter, müsstest du seine Daten löschen, sobald der Vorgang mit dem Freebie abgewickelt ist.
Aber natürlich hättest du auf diese Art bei jedem Besucher noch eine 50:50 Chance, dass er sich für deinen Newsletter anmeldet.
Liebe Annika und Pia
Danke für eure Antworten.
Gerade eben habe ich in diesem Artikel (https://www.akademie.de/wissen/freebies-nach-dsgvo) noch etwas mehr Möglichkeiten gefunden, das Freebie dennoch einbauen zu können. Die einfachste Möglichkeit scheint mir, meine Novelle, die als Freebie dient, auch auf Amazon gegen Geld anzubieten. Es scheint dann rechtlich in Ordnung, dieses auch als Freebie gegen die Adresse anzubieten. Jedoch ist mir nicht 100% klar, ob man in diesem Fall dann gleichzeitig die Newsletter (natürlich transparent) daran hängen darf. Ich nehme es aber an.
Liebe Nicole, deshalb schrieb ich in meinem Kommentar vorher, dass wir hier ein Problem haben: Die Buchpreisbindung! Du darfst in Deutschland deine digitale Geschichte (egal, ob es jetzt eine Kurzgeschichte oder ein Roman ist) nicht zu verschiedenen Preisen anbieten. Wenn du es auf der Webseite kostenlos anbietest (gegen Eintragung per E-Mail-Adresse, optional mit der Möglichkeit, deinen Newsletter zu abonnieren) muss es bei Amazon auch kostenlos angeboten werden (!!!).
Hab ich doch gesagt 😀 Aus Marketingsicht ist es bei vielen Freebies im Grunde überflüssig, sie anzubieten, wenn nur ein Bruchteil der Leute den Newsletter mitabonnieren. Ein Grund mehr, den Newsletter attraktiv zu gestalten, sodass er für sich spricht!