Blogspot Blogs und die DSGVO - Teil 4

Bloggerin an der Tastatur

Unlängst war ich mit Ela auf einem Vortrag zum Thema „Datenschutz und Datenschutz-Grundverordnung – worauf Blogger achten müssen“. Referent war ein Münchner Anwalt für IT-Recht.

Bei diesem Blogbeitrag handelt es sich um ein reines Gedächtnisprotokoll und explizit um keine Rechtsberatung. Ich erhebe keinen Anspruch auf Vollständigkeit oder die Richtigkeit meiner Aufzeichnungen und Schlussfolgerungen.

Achtung: Ergänzung am 28.04.2018
Die DS-GVO ist eine europaweite Rechtsvorschrift, die nach einer längeren Einführungsphase ab dem 25.05.2018 verpflichtend für alle in der EU ansässigen Unternehmen und Personen gilt und durch das deutsche "BDSG neu" entsprechend ergänzt wird.

Ich habe mich scheinbar nicht klar ausgedrückt, deshalb zitiere ich hier die Verordnung:

"Art. 2 DSGVO Sachlicher Anwendungsbereich

(I) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
   
(II) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten
    c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, ......"


Was heißt jetzt also ausschließlich persönlicher oder familiärer Tätigkeiten? Darunter würde ich einen "geschützten Raum" im Netz verstehen, zu dem nur persönlich bekannte Personen und familienmitglieder Zugang haben. Auf einen weltweit googlebaren, mit einem weltweit einsehbaren Google-Profil erstellten Blog, ist das mMn nicht anwendbar. Ob man letztlich Kooperationen auf dem Blog hat, unbezahlte oder bezahlte Werbung postet oder nicht, ist für den "Blogleser" nicht ersichtlich. Ein öffentlicher Blog (egal wie ausgestaltet) ist nicht privat und nicht familiär.

Speichern und verarbeiten von personenbezogenen Daten nur bei berechtigtem Interesse

Aus der Rechtsvorschrift leitet u.a. sich eindeutig ab, dass eine IP-Adresse ein personenbezogenes Datum ist, das letztlich nur gespeichert werden darf, wenn man ein begründetes Interesse nachweisen kann. Z.B. um festzustellen, wer rechtswidrige Texte, Schmähungen, Beleidigungen, rassistische oder sexistische Äußerungen in Form eines Kommentars auf einem Blog getätigt hat. Da der Blog Ersteller und der Blog Betreiber (das muss mMn nicht immer identisch sein) für die Inhalte verantwortlich sind, könnten beide für rechtswidrige Inhalte strafrechtlich belangt werden.

Ohne das Vorliegen eines Straftatbestands bzw. den Verdacht, es könnte ein Straftatbestand erfüllt sein, müssen die IP Adressen nach 7 Tagen gelöscht werden. Darüber hinaus muss genau begründet werden können, für welchen Zweck (Stichwort Zweckbindung) eine IP Adresse gespeichert wird und wie lange diese gespeichert bleiben muss (z.B. im Rahmen des Affiliatemarketings sind es bei Tracdelight 90 Tage).

Für Sicherheit bei der Kommunikation sorgen

Die Kommunikation zwischen Leser, Blogger und ggf. Drittanbieter muss so sicher wie möglich sein und ist daher mit SSL zu verschlüsseln. Denkt daher bitte an Euer SSL-Zertifikat.

Die rechtmäßige Verarbeitung personenbezogener Daten

Art 6, Abs. 1 der DSGVO besagt,
Zitat „die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

Das ist mMn für uns Blogger einschlägig hinsichtlich Name und Mailadresse bei
  • Abspeichern eines Kommentars
  • Info-Mail bei neuen Kommentaren
  • Versendung eines Newsletters.

Die Einwilligung zum Speichern von personenbezogenen Daten für einen konkreten Zweck liegt vor?

Hier kommt das geforderte Double-Out in Spiel. Heißt, der Leser muss bestätigen, dass er weiß, dass seine Daten gespeichert werden bzw. dass er einen Kommentar tatsächlich abonnieren,
bzw. tatsächlich einen Newsletter an eine bestimmt E-Mail-Adresse geschickt haben will.
Das bedeutet auch, dass man die Mailadressen nicht dazu verwenden darf um beliebige Werbemails zu verschicken oder die Adresse gar verkaufen darf.

Frühlingstrend Tüllrock mit Netzstrümpfen. Viel Schwarz mit Silber kombiniert.

Übertragung unserer Sorgfaltspflicht mittels Auftragsdatenverarbeitungsvertrag

Wenn wir als Blogger jemand anderen (den Hoster, Google Analytics etc.) mit der Verarbeitung von Daten, die über unseren Blog hereinkommen, betrauen, müssen wir einen entsprechenden
Auftragsdatenverarbeitungsvertrag mit dem Unternehmen schließen, mittels diesem die Sorgfaltspflicht auf denjenigen übergeht, der die Daten in unserem Namen verarbeitet.

Wen dürfen wir mit der Datenverarbeitung der Daten unserer Leser/Kunden betrauen?

Wenn ein berechtigtes Interesse (z.B. Schutz vor Straftaten, Affiliatemarketing) von unserer Seite besteht, dürfen die Daten (hauptsächlich wohl die IP-Adresse) grundsätzlich an Firmen mit Sitz in Europa weitergereicht werden.
Für eine Firma die Ihren Sitz nicht in der EU (bzw. in der Schweiz) sondern in den USA hat, gibt es eine Liste von Firmen, die als vertrauenswürdig eingestuft werden. https://www.privacyshield.gov/list
Firmen z.B. Facebook oder Google finden sich auf dieser Liste.

Der Auftragsdatenverarbeitungsvertrag mit Google Analytics, der am dem 25.05.2018 übrigens tatsächlich auch online abgeschlossen werden darf, ist anscheinend als einziger vom EU-Datenschutz-Gremium abgesegnet.

Ela wollte sich mit Google in Verbindung setzen, um heraus zu finden, ob es für Blogspot-Blogs nötig und möglich ist einen Auftragsdatenverarbeitungsvertrag abzuschließen. Die Antwort war ein allgemeiner Textbaustein. Darauf können wir also nicht setzen. Ich füge sie Euch hier ein.

"You can count on the fact that Google is committed to GDPR compliance across products, including Blogger. We are always working to stay compliant, which helps make compliance easier for your blog. We are also committed to providing robust privacy and security protections built into our services. We know security and privacy are important to you, and they are important to us, too. For Google, it’s a priority that your private information is safe.
You can also find more information about privacy, data and security at privacy.google.com, or by visiting Google’s Privacy Policy.
As we cannot provide you with legal advice, we encourage you to consult an attorney to understand your status and obligations under GDPR.  If you are a data controller for a blog, you may find guidance related to your responsibilities on the website of your national or lead data protection authority under the GDPR (as applicable), as well as by reviewing publications by data privacy associations such as the International Association of Privacy Professionals (IAPP)."

Impressum und Datenschutzseiten auf Blogs

Ab dem 25.05.2018 muss es nun zwingend auf jedem Blog eine Impressumseite und eine Datenschutzerklärungsseite geben, die auf den ersten Blick für den Leser sichtbar/erreichbar ist.

Wie nun vorgehen?

Der Rechtsanwalt hat empfohlen sich ein Muster zu generieren zu lassen, z.B. über e-Recht24 das nach Möglichkeit alle Gegebenheiten auf dem eigenen Blog dokumentiert.
Nach meiner Erfahrung ist der generierte Text nicht vollständig (es kann nur aus einer vorgegebenen Menge an Bausteinen ausgewählt werden) bzw. beschreibt der Text die technischen Gegebenheiten und Funktionen eines Blogs nicht unbedingt richtig.
Deshalb ist der Rat des Anwalts mehr als sinnvoll, die Datenschutzerklärung so genau es geht auf den eigenen Blog anzupassen und zu beschreiben was gespeichert, verarbeitet und an wen was zur Verarbeitung weitergegeben wird. Und zwar in möglichst einfacher Sprache.

Meine eigene Schlussfolgerung

Am "sichersten" leben Blogs, die ihre Datenschutz- und Impressumsseite vor dem Google-Suchindex verstecken und die das, was an Cookies und Trackern gesetzt/angezeigt wird, in der Datenschutzerklärung erwähnen und beschreiben. Was technisch nicht vorhanden ist, muss aus der Datenschutzerklärung unbedingt entfernt werden. Je konsistenter und transparenter Blog und Datenschutzerklärung aufeinander abgestimmt sind, umso weniger Angriffsfläche bietet der Blog für eine mögliche Abmahnung.

Frühlingstrend Tüllrock mit Netzstrümpfen. Viel Schwarz mit Silber kombiniert.

Wie ist das mit den Bußgeldern?

Auch scheint es immer noch ein Missverständnis bei der Bemessung der Bußgeldhöhe zu geben. Es sind bis zu 20 Millionen Euro oder maximal 4% des weltweiten Jahresumsatzes fällig. Das ist abhängig davon, wie schwer der Verstoß vom Gericht gewertet wird.
Der Katalog des Art. 83 DSGVO beinhaltet die tatsächlichen Bemessungskriterien. Wenn Euch also personenbezogene Daten verloren gehen – z.B. wenn Euer E-Mail-Konto gehackt worden ist, und Ihr der Verpflichtung nachkommt, das innerhalb von 72 h bei der Aufsichtsbehörde bekannt zu geben, wird sich das positiv auf die Bemessung des Bußgeldes auswirken.

Mein Fazit

Letztlich geht es hier auch nur am Rande um uns kleine Blogger, die wir aber trotzdem vor dem Gesetz als Unternehmer gelten, sobald wir mit dem Blog Geschäfte machen oder durch unsere öffentliche Präsenz Geschäfte machen könnten.
Und wie jeder Influenzer weiß, unsere Leser sind unser Kapital, je mehr Leser, je mehr Reichweite, je mehr Geld gibt es für Kooperationen. Die Leser und ihre Daten sind ein aktiver Posten in unserer Bilanz. Aber unsere Größe als Unternehmen entbindet uns nicht von der Pflicht mit den personenbezogenen Daten, die uns unsere Leser überlassen, äußerst sorgsam und verantwortungsvoll umzugehen. Und sie auch nicht zur Verarbeitung in Hände zu legen, die als "unsicher" eingestuft werden müssen. Also: Augen auf bei der Partnerwahl!

Und sonst so?

Darüber hinaus hatte ich eine vollgepackte Woche mit vielen dienstlichen und privaten Terminen und habe es sogar geschafft, zwei Mal mit meinem Mann auszugehen. Das schaffen wir in der Tat in letzter Zeit nicht mehr besonders oft. Außerdem habe ich meine Datenschutzerklärung für den Blog fertig gemacht und die Cookie-Hinweise überarbeitet. Deshalb kamen neue Beiträge, Eure Blogs und das Kommentieren auch etwas zu kurz. Aber der Tag hat eben nur 24 h.


Dummerweise steht nun auch noch die Steuer an, die gemacht werden will. Auch so ein Thema, das ich in jedem Jahr vor mir herschiebe. Am Sonntag geht es hier übrigens weiter mit der der April ü30Blogger & Friends Aktion: 1-2 Zuckerfrei. Ich freue mich, wenn Ihr vorbei kommt, um zu lesen und natürlich auch über Eure Meinung zum Thema.

Die ü30Blogger sind übrigens umgezogen. Auch ein Seiteneffekt der DSGVO. Wir nutzen nun einen Blog als Plattform, den Ihr natürlich gerne über die üblichen Kanäle abonnieren dürft.


Ich hoffe, Ihr könnt Euch auch aus diesem Beitrag wieder was für Euch und Euren Blog mitnehmen. Aber soviel sei gesagt: Ich gebe hier nur meine eigenen, praktischen Erfahrungen und meine eigene Interpretation wieder. Ich erhebe keinen Anspruch auf Vollständigkeit oder technische Umsetzbarkeit auf anderen Plattformen. Auch handelt es sich niemals um eine Rechtsberatung.

Kommt mir gut durch die Nacht, in den Samstag, lasst es Euch gut gehen und bleibts ma gsund
Sunny

Zum Thema Blogspot und DSGVO sind bereits folgende Beiträge erschienen:

Einführung DSGVO

DSGVO und Blogger
Leseverhalten und DSGVO
DSGVO und Blogspot Teil 1
DSGVO und Blogspot Tei 2
DSGVO und Blogspot Teil 3
DSGVO und Blogspot Teil 4
DSGVO und Blogspot Teil 5
DSGVO und Blogspot Teil 6
DSGVO, Datenschutzerklärung und Google +

Bloggen zwischen Hobby und Kommerz

Weitere Beiträge zum Thema DSGVO findet Ihr hier

mit Hinweisen für Blogspot:
Herr Emrich
Herr Emrich Teil 2
Reisen und Fotografie 
Beautylicious-living
Pergamentfalter

für Word Press:
Elablogt
Sabine Gimm
Ines Meyrose

Kommentare

  1. also mein blog ist kein unternehmen!!
    nie gewesen und wirds auch nie sein. wenn ich deinen text richtig verstehe geht es um blogs die umsätze gerieren - wieviel und mit was auch immer.
    konnte das nicht eher mal jemand sagen!
    vll. weil immer alle blogger in einen topp geworfen werden........
    trotzdem danke dir für deine detaillierten posts zum thema - wieder was gelernt!
    xxxx

    AntwortenLöschen
    Antworten
    1. Nein, Beate. Grundsätzlich geht es bei der DSGVO um alle die Daten speichern. Auch mein Arbeitgeber, eine Behörde muss die Auflagen erfüllen. Oder auch der kleine Musikikverein, der eine Mitgliederliste führt und Newsletter versendet. Eine Band.
      Ob Du auch ein Bußgeld aufgebrummt bekommen kannst, ohne Umsatz, weiß ich nicht. 5% von Nix bleibt Nix. Unabhängig davon muss die höhe der Strafe auch immer verhältnismäßig sein. Damit die Leute aber wirklich mehr auf die Daten von anderen aufpassen, als in den vergangenen Jahren, gibt es nun eben wirklich saftige Strafen.
      Ich würde z.B. nix auf Vorkasse bei einer Online-Firma ohne Impressum und deutsche AGBs bestellen. Und Du sicher auch nicht. Es geht jetzt im ersten Schritt sehr viel um Transparenz. Und auch darum bei uns allen ein gewisses Bewußtsein zu etablieren.
      LG Sunny

      Löschen
  2. Danke Sunny. Wünsche Dir ein schönes Wochenende, liebe Grüße Tina

    AntwortenLöschen
  3. Danke Sunny für deine Ausführungen zum Thema. :)

    Wünsche dir ein schönes Wochenende <3 Liebe Grüße!

    AntwortenLöschen
  4. Liebe Sunny,
    du hast dich ja richtig in das Thema eingearbeitet. Wow! Ich versuche es noch mit Ignoranz :-) Aber ein großes Dankeschön für die Aufklärung. Das hilft extrem! Danke, Danke!
    LG Natascha

    AntwortenLöschen
  5. Erst mal vielen Dank für deine tollen Beiträge zum Thema DSGVO. Hat mir erst mal wieder Mut gemacht das alles doch zu wuppen. Dann hab ich den post von Stempelgaudi vom 08.05 gelesen u schwupp ist mir wieder mulmig. Muss wirklich jeder diesen schriftlichen Datenverarbeitungsvertrag mit google Irland via Briefpost abschließen, nur damit ich als 1-personen-Blog weiter über Bücher berichten darf? Obwohl ich google Analytics gar nicht auf meinem Blog aktiviert habe? Denn von online abschließen steht in den Gesetzesparagraphen nichts.

    Bin grad sehr verwirrt.

    Beste Grüße
    Vi

    AntwortenLöschen
    Antworten
    1. Hi Vi, ich lese gerade deinen Kommentar und hoffe, ich kann dich ein wenig entwirren :)))
      Der Hinweis in meinem Blog bezog sich lediglich auf den AV-Vertrag in Verbindung mit Google Analytics.
      Alles Liebe und herzliche Grüße
      Momo

      Löschen
    2. Danke Momo. Ich beauftrage Google selbst ja nicht meine Daten zu verarbeiten. Also sehe ich für mich keinen Grund mit denen darüber einen Vertrag abzuschließen. VG Sunny

      Löschen
  6. Vielen, lieben Dank für das Teilen deiner Erfahrungen und deiner erworbenen Kenntnisse und Gedanken! Weißt du wie ich die Datenschutz- und Impressumsseite vor dem Google-Suchindex verstecken kann?

    Viele Grüße, nossy

    AntwortenLöschen
    Antworten
    1. Pergamentfalter hat es in dem von mir verlinkten Beitrag beschrieben. VG Sunny

      Löschen
  7. Vielen vielen Dank für die tollen Erklärungsbeiträge. Es hat mir wirklich sehr geholfen!
    LG Lyne

    AntwortenLöschen
  8. Hallo Sunny,

    vielen Dank für deine informative Blogreihe zur DSGVO. Du hattest erwähnt, dass sich bei vielen Blogs noch nichts getan hat: Für meinen kann ich sagen, ich bin im Hintergrund dabei die Daten für die Erklärung zu sammeln / Einstellungen anzupassen und werde auch erst knapp vorher / zum Stichtag fertig sein. Aber bei mir steht der Umzug zu Wordpress auch schon in den Startlöchern - das wollte ich eh schon seit über einem Jahr angehen.
    Lieber Gruß,
    Muriel

    AntwortenLöschen
  9. Hi, vielen Dank für deine tollen Beiträge! Ich habe mich jetzt einmal komplett durchgearbeitet und fühle mich schon viel sicherer. Nur eine Frage hätte ich noch: Unterscheidet sich das SSL von der https-Sache? Also ich habe https eingestellt und dazu alle Beiträge, die dann noch beim Suchen von http aufgetaucht sind, gelöscht (waren nur ein paar uralte). Reicht das dann?
    Love, Héloise
    Et Omnia Vanitas

    AntwortenLöschen
    Antworten
    1. Nein. SSL nennt sich das Zertifikat und httpS dann das passende Protokoll VG Sunny

      Löschen
  10. Ich habe heute alle deine Beiträge zum Thema gelesen und muss erstmal sagen wie toll ich es finde, dass du dir die Mühe gemacht hast uns alle so zu informieren.

    Ich bin ziemlich spät dran bei dem Thema, weil ich überhaupt nicht auf die Idee gekommen bin, dass das auch für mich wichtig ist bis eine Freundin mich darauf aufmerksam gemacht hat.

    Nachdem ich alles gelesen habe bin ich aber immer noch verwirrt.
    Ich mache keinen Umsatz und speichere auch keinerlei Daten. Man kann mir weder per Mail folgen noch sonst irgend etwas und die Kommentare habe ich jetzt vorsichtshalber auch ausgeschaltet, was aber auch nicht wirklich einen Unterschied macht, da sowieso niemand meinen Blog liest und schon gar keine Kommentare schreibt.
    Muss ich auch eine Datenschutzerklärung erstellen wenn ich wirklich überhaupt keine Daten erhebe?

    XX Kim

    AntwortenLöschen
    Antworten
    1. Kommentierst Du Deine Blogadresse, damit ich mal gucken kann. Mit dem Googleprofil ist nichts verbunden.
      VG Sunny

      Löschen

Kommentar veröffentlichen

Probleme beim Kommentieren mit dem Googlekonto? Hinweise für

Dieser Blog ist mit Blogspot, einem Googleprodukt, erstellt und wird von Google gehostet. Es gelten die

Um auf diesem Blog zu kommentieren benötigst Du - wie bisher auch - ein Google Konto. Konto anlegen

Du kannst die Kommentare zu diesem Beitrag durch Setzen des Häkchens abonnieren. Google informiert Dich dann mit eine Nachricht an die in Deinem Googleprofil hinterlegte Mail-Adresse.

Durch Entfernen des Hakens löscht Du Dein Abbonement. Es wird Dir eine entsprechende Vollzugsnachricht angezeigt. Oder Du meldest Dich über einen deutlichen Link in der Mail ab, die Dich über den Kommentar informiert.

Infos zum Datenschutz auf diesem Blog

Beliebteste Beiträge der letzten Woche

[Reloaded] Goldene Hochzeit

Effektives Nagelpeeling mit Natron

[Tall fashion] Staple und Trend Pieces

[Reloaded] Vom richtigen Zeitpunkt oder die Sache mit dem Christbaum

Um was gehts auf diesem Blog?

Hier kannst Du mir folgen



Sunny's side of life via Feedly


Follow Sunny's side of life via Bloglovin'Sunny's side of life via Blogger
trusted blogs

Mich findet ihr bei


ü30Blogger


Lionshome


Melongia

Women over 40Bloggerherz
Stop to abuse! my blog!!