Aktuell ist die DSGVO in aller Munde und auch ich habe beschlossen, mich mit dem Thema zu beschäftigen und einige Informationen zusammenzutragen. Die EU-DSGVO und das BDSG (neu) werden am 25. Mai 2018 anwendbar. Ich verlinke unten noch weitere Quellen, die mir geholfen haben, mich zurecht zu finden.

Ich möchte euch erzählen, was ich schon geändert habe und was ich noch ändern werden. Leider sind trotz der im folgenden beschriebenen Änderungen noch einige Punkte offen, wo Google an Blogger selbst Änderungen vornehmen muss. Dies ist keine Rechtsberatung!!! Ich habe mich nach bestem Wissen in das Thema eingelesen, arbeite aber zumindest auch im Online-Marketing, was es mir bei manchen Dingen etwas einfacher macht.


Auch Google selbst hat sich im Blogger Forum schon geäußert, allerdings noch sehr allgemein und eher unbefriedigend 🙁



1) Die Daten der User – Zugriff und Speicherung 
Ein ganz großes Fragezeichen ist für mich das Löschen personalisierter Daten. Der Nutzer hat nämlich das Recht jederzeit Einblick in die von ihm gespeicherten Daten (auch so etwas wie IP-Adresse!) zu fordern und ggf. die Löschung dieser Daten zu verlangen. Da man bei Blogger keinen Zugriff auf diese Daten hat, könnte das das größte Problem werden und das KO-Kriterium. Zudem muss man genau sagen können, wo und in welchem Land die Daten gespeichert werden. Das fürchte ich weiß Google allerdings selbst nicht, da sie zigtausend Server in verschiedensten Ländern nutzen.
-> Status unklar, hier habe ich die größten Zweifel

2) Eine sichere Verbindung – https
Eure Daten sollten über https übertragen werden. Das ist eine gesicherte Verbindung und die Daten werden verschlüsselt übertragen. Das ist bei Blogger kein Problem.
Ihr könnt dies in „Einstellungen -> Grundlegende Einstellungen -> https aktivieren.
-> Status: gelöst

2b) Eine sichere Verbindung für benutzerdefinierte Domains
Wenn ihr eine benutzerdefinierte Domain nutzt (ohne blogspot) so wie ich kann man das Ganze über draft.blogger.com unter Einstellungen aktivieren. Das hat bei mir tadellos funktioniert.
-> Status: gelöst

3) Kommentarabbonnements per Double Opt-In
Wenn jemand eine Information über Folgekommentare bekommen möchte, dann muss das per Double-Opt-In erfolgen. Das heißt, wie bei einem Newsletter, muss der User nochmal eine Email erhalten, in der er das Abonnement per Klick auf einen Link bestätigt. Das bietet Blogger aktuell nicht an. Ich weiß nicht, ob es bei der Umstellung auf Google+-Kommentare möglich ist bzw. man könnte seine Kommentare noch deaktivieren, was aber auch nicht Sinn der Sache ist.
-> Status unklar. Hier muss wahrscheinlich Blogger handeln.

3b) Checkbox bei Kommentaren
Mir ist noch nicht ganz klar, ob das wirklich eine Regel ist, dass der User eine Checkbox vor Absenden des Kommentars anklicken muss, um dem Senden seiner persönlichen Daten zuzustimmen. Zumindest ein Hinweis darauf, dass man automatisch persönliche Daten bei Kommentarabgabe sendet, wäre bei Blogger möglich, allerdings keine Checkbox.
-> Status unklar. 

4) Google Analytics im Einsatz


IP-Anonymisierung:
Wer Google Analytics im Einsatz hat, muss die IP-Adresse der User anonymisieren. Das macht Google leider nicht von selbst, wenn man das von Blogger vorgesehene Feld nutzt.

Ihr müsst unter Design -> HTML bearbeiten gehen:

Dort fügt ihr folgenden Code im head-Bereich ein. 
Also
1) HTML bearbeiten
2) STRG F für suchen drücken
3) </head> suchen
4) VOR dem schließenden Head-Tag den unteren Code einfügen.

Besonders wichtig ist die Codezeile in grün, die dafür sorgt, dass die IP-Adresse datenschutzkonform nicht vollständig gespeichert wird. Bitte Eure Tracking ID im gelben Bereich einfügen. 

<script> var gaProperty = ‚UA-XXXXXXXX-X‘; var disableStr = ‚ga-disable-‚ + gaProperty; 

if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) { window[disableStr] = true; } 

function gaOptout() { document.cookie = disableStr + ‚=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/‘; window[disableStr] = true; 
alert(‚Das Tracking ist jetzt deaktiviert‘); } 


(function(i,s,o,g,r,a,m){i[‚GoogleAnalyticsObject‘]=r;i[r]=i[r]||function(){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,’script‘,’https://www.google-analytics.com/analytics.js‘,’ga‘); 
ga(‚create‘, ‚UA-XXXXXXXX-X‘, ‚auto‘); 
ga(’set‘, ‚anonymizeIp‘, true); 
ga(’send‘, ‚pageview‘); 
</script>

Eure Tracking ID findet ihr im Google Analytics Account unter Einstellungen:

Vertrag mit Google:
Ihr müsst laut deutschem (!) Recht nicht nur einen elektronischen Vertrag mit Google abschließen, sondern auch einen schriftlichen. Diesen findet ihr hier. Diesen müsst ihr unterschrieben zu Google nach Irland schicken und bekommt diesen unterschrieben zurück.

Opt-Out:
Ihr müsst dem User die Möglichkeit geben, das Tracking per sogenanntem Opt-Out zu stoppen. 
Die Nutzer können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de.

5) Neue Datenschutzerklärung
Ich habe mir unter https://datenschutz-generator.de/ eine neue Datenschutz Erklärung zusammengestellt. Hier kann man individuell anklicken, ob man z.B. Google Analytics nutzt, Facebook Schaltflächen etc.
Achtung: Die Datenschutzerklärung muss genau wie das Impressum auf den ersten Blick sichtbar sein!!! Ich habe sie oben in den Header neben das Impressum gepackt.
-> Status: gelöst



6) Share Buttons
Hier ist nicht klar, ob sie wirklich datenschutzkonform sind, denn sie senden meistens schon Daten, wenn der User in z.B. bei Facebook eingeloggten Zustand auf die Webseite kommt. Ich lasse sie vorerst drin, aber habe entsprechende Hinweise in der Datenschutzerklärung. 
Bei WordPress gibt es Plugins, die diese Share-Buttons erst aktivieren, wenn man nochmal klickt, das gibt es bei Blogger nicht. Im schlimmsten Fall nehme ich sie raus.
-> Status: Erst mal gelöst

7) Follower Widgets
Ich fürchte es ist nicht konform seine Follower via Gesicht als Follower zu zeigen. Daher schmeiße ich vor dem 28.05. alle Widgets raus und verlinke direkt auf u.a. Google Friend Connect.
-> Status: Erst mal gelöst

8) Verarbeitungsverzeichnis

Diese „Verzeichnis von Verarbeitungstätigkeiten“ nach Art. 30 DSGVO ist mir noch unklar. Hier muss man im Prinzip ein Verzeichnis führen mit:

  • Namen und Kontaktdaten des „Datenschutzbeauftragten“
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation und noch einigem mehr.
Allerdings sind unternehmen mit weniger als 250 Mitarbeitern davon befreit. Allerdings gilt diese Ausnahme bereits dann nicht, wenn die Verarbeitung personenbezogener Daten „nicht nur gelegentlich“ erfolgt. Ob jetzt Blogger betroffen sind oder nicht, darüber scheiden sich noch die Meinungen.
****************************************************************


Weitere Quellen:
Bye, bye Blogspot – Die Tücken der DSGVO
DSGVO – Checkliste für Blogs
DSGVO – Leifaden für Blogger * lesefreude