Ende Mai 2018 trat die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie legt fest, wie jede Person oder Organisation, die personenbezogene Daten von EU-Bürgerinnen und -Bürgern verarbeitet – etwa E-Mail-Adressen, IP-Adressen usw. – damit umzugehen hat. Die DSGVO gilt damit auch für Blogger – ausnahmslos.
Bedeutet das, dass die neue Verordnung auch für Blogger gilt? Ja, ohne Ausnahme.
„Muss ich jetzt wirklich alle meine Abonnenten bitten, sich erneut anzumelden? Und darf ich überhaupt noch Cookies setzen?!“
Das Internet ist voll von solchen Horrorszenarien – dabei ist die DSGVO gar nicht so schlimm. Man muss sich nur einmal durchbeißen. Wir haben eine Anleitung zusammengestellt, was und wie du auf deinem Blog ändern musst, um die neue Verordnung zu erfüllen. Außerdem erklären wir dir, was du mit deinen bestehenden Newsletter-Abonnenten tun sollst.
HINWEIS. Wir sind keine Rechtsanwälte und auch keine Datenschutzexperten. Alles, was du hier liest, ist unsere persönliche Interpretation der DSGVO aus der Perspektive von Bloggern. Bei der Recherche haben wir uns auf den Verordnungstext selbst gestützt sowie darauf, wie andere Blogger und Online-Unternehmer das Thema angegangen sind. Betrachte diesen Artikel bitte nicht als Rechtsberatung, sondern als praktischen Leitfaden für deinen konkreten Fall. Danke – und los geht’s!
Das Ziel der DSGVO ist es, Nutzern mehr Kontrolle über ihre eigenen Daten zu geben. Je transparenter du mit der Datenverarbeitung umgehst und je mehr Kontrolle du deinen Lesern gibst, desto sicherer bist du auf der richtigen Seite.
Welche Daten sammeln wir als Blogger von unseren Lesern?
Mit „Datenverarbeitung“ meint die EU-Verordnung sämtliche Daten, die du über Nutzer sammelst, sowie die Art und Weise, wie du damit umgehst. Personenbezogene Daten sind alle Informationen, mit denen du eine Person direkt oder indirekt identifizieren kannst – dazu zählen Namen, Adressen, Telefonnummern, E-Mail-Adressen, aber auch IP-Adressen und andere Kennungen. Wenn du auf deinem Blog eines der folgenden Dinge tust, betrifft dich die DSGVO:
- Du sammelst E-Mail-Adressen – z. B. für einen Newsletter
- Du hast Kommentarfunktionen aktiviert (besonders bei WordPress)
- Du trackst das Nutzerverhalten, z. B. mit Google Analytics
- Du hast ein Kontaktformular auf deinem Blog
- Du verwendest Plugins, die Nutzerdaten erheben
- Du veranstaltest Gewinnspiele oder Giveaways
#1 Verwende Checkboxen (oder eine andere Form der Einwilligung), wenn Leser dir Daten übermitteln
Immer wenn du personenbezogene Daten von Lesern erhebst, brauchst du deren ausdrückliche Einwilligung. Außerdem muss beim Zeitpunkt der Datenerhebung klar sein, zu welchem Zweck du die Daten verwendest. Wenn dir also jemand seine E-Mail-Adresse gibt, um deinen Newsletter zu erhalten, muss er ausdrücklich zustimmen, dass er diesen erhalten möchte.
Die einfachste Lösung ist eine Checkbox, mit der der Leser seine eindeutige Zustimmung gibt. Das ist zwar etwas aufwendig, schützt dich aber auf allen Ebenen. Bei uns auf Loudavým Krokem sieht das so aus:
Die zweite Möglichkeit ist, die Einwilligung direkt in den Button-Text zu integrieren. Wenn sich zum Beispiel jemand für einen Kurs anmeldet, bestätigt er mit dem Klick auf den Anmelde-Button gleichzeitig seine Zustimmung.
MUSTERTEXT
Damit es dir noch leichter fällt, haben wir einen Mustertext vorbereitet. Ersetze die Punkte durch eine Auflistung dessen, was du an deine Abonnenten versenden wirst, und verlinke den letzten Satz auf deine Datenschutzerklärung. (Ein Muster zum Download findest du gleich unten.)
MUSTERTEXT FÜR DIE EINWILLIGUNG: Mit einem Klick auf „Ich stimme zu…“ erklärst du dich einverstanden, dass wir dir …………… zusenden dürfen. Wenn du keine E-Mails mehr erhalten möchtest, kannst du dich jederzeit über den Abmeldelink in jeder E-Mail abmelden und deine Einwilligung widerrufen. Weitere Informationen zu unserer Datenschutzerklärung findest du hier.
Wenn du klassische WordPress-Formulare verwendest, reicht das Plugin WP GDPR Compliance. Falls du E-Mails über Mailchimp, ConvertKit oder ähnliche Dienste sammelst, findest du entsprechende DSGVO-Lösungen direkt auf deren Plattformen.
Die Strategie ist simpel: Du musst für jeden Abonnenten dokumentieren, wie und wann er dir seine Einwilligung zum E-Mail-Versand gegeben hat.
#2 Für maximale Absicherung: Nutze Double Opt-in zur Bestätigung der Einwilligung
Auch wenn die DSGVO es nicht explizit vorschreibt, empfiehlt sich das Double-Opt-in-Verfahren. Nachdem sich jemand für den Newsletter oder einen Kurs eingetragen hat, erhält er eine E-Mail mit einem Bestätigungslink. Erst wenn er darauf klickt, wird er in die Mailingliste aufgenommen. Was bringt das?
- Doppelte Einwilligung zum Versand
- Sicherheit, dass der Leser wirklich an deinen Inhalten interessiert ist
- Keine ungültigen E-Mail-Adressen in der Datenbank durch Tippfehler
So sieht eine Double-Opt-in-E-Mail aus:
Erst nach dem Klick auf den Bestätigungsbutton wird die E-Mail-Adresse in die Datenbank aufgenommen und die E-Mail-Sequenz gestartet. Personenbezogene Daten von Nutzern, die keine Einwilligung erteilt haben, musst du unverzüglich aus der Datenbank löschen.
#3 Erstelle eine DSGVO-konforme Datenschutzerklärung und veröffentliche sie auf deiner Website
Die Erstellung einer Datenschutzerklärung ist das, wovor sich die meisten am meisten fürchten. Dabei musst du das gar nicht – wir haben eine Vorlage vorbereitet, in der du einfach die fehlenden Angaben ergänzt. So sieht unsere aus. Du musst für jeden Blog, den du betreibst, eine eigene Datenschutzerklärung erstellen und sie im Menü deiner Website verlinken – zum Beispiel in einem Dropdown. Folgendes sollte darin enthalten sein:
- Wer als Verantwortlicher für die Datenverarbeitung benannt ist
- Welche Daten du verarbeitest und zu welchem Zweck (Art. 5 DSGVO)
- An wen du Daten weitergibst
- Wie du Daten schützt
- Die Rechte deiner Leser (z. B. Auskunftsrecht gem. Art. 15 DSGVO, Löschungsrecht gem. Art. 17 DSGVO)
In der Mustervorlage haben wir alle Stellen markiert, die du selbst ausfüllen musst – mit Kommentaren, was genau dort hingehört. 🙂
#4 Informiere deine bestehenden Abonnenten über die DSGVO-Konformität oder hole deren Einwilligung ein
Jetzt wird’s ernst. Wahrscheinlich hast du Dutzende, Hunderte oder sogar Tausende von E-Mail-Adressen in deiner Datenbank. Was tun? Musst du alle erneut um eine Anmeldung bitten? Oder kannst du einfach weitermachen wie bisher? Das hängt davon ab, wie du die E-Mails bisher gesammelt hast.
- Du hast E-Mails für einen konkreten Zweck gesammelt und hältst dich daran
Wenn du E-Mails bisher bereits so gesammelt hast, wie es die DSGVO verlangt, musst du keine erneute Einwilligung einholen. DSGVO-konformer Datenerwerb bedeutet, dass du nachweisen kannst, wann, wie und zu welchem Zweck dir ein Leser seine Einwilligung gegeben hat. In diesem Fall reicht es unserer Meinung nach aus, wenn du deine bestehenden Abonnenten darüber informierst:
- Wie du ihre Daten erhalten hast (wo sie sich angemeldet haben)
- Wofür du ihre Daten verwendest (was du ihnen sendest)
- Dass du ab sofort Daten gemäß DSGVO verarbeitest
- Wie sie sich abmelden können
So haben wir das gemacht:
- Du hast E-Mails über allgemeine Formulare gesammelt, versendest Inhalte, für die keine Einwilligung vorlag, oder hast andere Voraussetzungen nicht erfüllt
Wenn du E-Mails ohne ausdrückliche Einwilligung gesammelt oder Mailings ohne entsprechende Erlaubnis versendet hast, musst du von jedem Abonnenten eine explizite Einwilligung einholen – sofern du das weiter fortführen möchtest.
Das war auch bei uns der Fall: Auf Loudavým Krokem haben wir E-Mails hauptsächlich über Gewinnspiele und Reise-Giveaways gesammelt und unsere Leser nie ausdrücklich darüber informiert, dass sie sich mit der Teilnahme auch für den Newsletter anmelden. Deshalb haben wir sie um ihre Einwilligung für alle Inhalte gebeten, die wir ihnen künftig zusenden wollen:
Nach dem Klick gelangen sie auf eine Seite, auf der sie aktiv bestätigen müssen, dass sie der Zusendung ausdrücklich zustimmen.
#5 Wenn du Abonnenten mit Tags verwaltest oder aus mehreren Formularen sammelst, plane deine Struktur sorgfältig
Es war für uns nicht ganz einfach, die DSGVO in unsere Formularstruktur zu integrieren, weil wir viele verschiedene Formulare verwenden. Wir haben mehrere Interessensbereiche, für die sich Leser eintragen können, und versehen alle Abonnenten schrittweise mit Tags, nach denen wir ihnen dann passende Inhalte zusenden.
Manche interessieren sich für Kryptowährungen, andere für Online-Marketing oder Online-Business. Wenn sich jemand für einen Kryptokurs anmeldet, dürfen wir ihm gemäß DSGVO nicht einfach einen Artikel über Instagram-Marketing schicken. Deshalb ist es wichtig, genau zu dokumentieren, wer welche Einwilligung erteilt hat. Wir empfehlen, eine übersichtliche Karte zu erstellen – so sieht unsere aus:
Wie du siehst, haben wir DSGVO-konforme Double-Opt-ins in alle Eingangsformulare integriert, über die sich Leser in unsere E-Mail-Datenbank eintragen können.
#6 „Berechtigtes Interesse“ – was das bedeutet und wie du damit umgehst
Im Rahmen der DSGVO gibt es den Begriff des „berechtigten Interesses“ (Art. 6 DSGVO), der als Ausnahme für das Versenden von E-Mails genutzt werden kann.
Wenn jemand bei dir zum Beispiel einen Reise-Accessoire kauft, kannst du berechtigterweise davon ausgehen, dass er Interesse an Neuigkeiten aus deinem Shop hat – und ihn daher in deinen Newsletter aufnehmen. Das gilt als berechtigtes Interesse im Rahmen des Direktmarketings.
Sei mit dem berechtigten Interesse jedoch vorsichtig: Die Definition ist unscharf, und wir empfehlen, es so selten wie möglich zu verwenden und stattdessen immer eine ausdrückliche Einwilligung einzuholen.
#7 Cookies und Tools wie Google Analytics
Wenn du Analyse-Tools wie Google Analytics verwendest, um das Nutzerverhalten auf deinem Blog zu verfolgen, betrifft dich die DSGVO ebenfalls.
Sobald ein Besucher deinen Blog zum ersten Mal öffnet, legt Google Analytics Cookies in seinem Browser ab, die dazu dienen, sein Verhalten zu tracken. Diese Cookies erheben personenbezogene Daten in Form von Kennungen, die potenziell zur indirekten Identifizierung einer Person verwendet werden können.
Aus diesem Grund musst du Nutzer darüber informieren, dass du Cookies verwendest. Und nicht nur das – sie müssen auch wissen, welche Daten erhoben werden, wozu diese genutzt werden und wie sie der Cookie-Verwendung widersprechen können.
Am einfachsten geht das mit einem WordPress-Plugin:
Den Hinweis auf Cookies musst du außerdem in deine Datenschutzerklärung aufnehmen.
#8 Leser können alle Informationen anfordern, die du über sie speicherst
Nutzer haben durch die DSGVO ein Auskunftsrecht (Art. 15 DSGVO) gegenüber den Informationen, die du über sie gespeichert hast.
Stelle daher sicher, dass du jederzeit Zugang zu diesen Informationen hast. Du musst nicht nur in der Lage sein, Logs darüber zu exportieren, wann und wie sich ein Nutzer angemeldet hat und welche E-Mails er von dir erhalten hat – auch Daten über sein Verhalten auf deiner Website, etwa aus Google Analytics, müssen auf Anfrage bereitgestellt werden können.
Google hat zum Glück entsprechende Tools bereitgestellt, darunter auch die Möglichkeit, alle gesammelten Daten über einzelne Nutzer zu löschen (Art. 17 DSGVO).
Zusammenfassung
Die DSGVO ist nicht halb so schlimm, wie sie klingt. Bei uns hat sie sogar dazu beigetragen, unsere E-Mail-Datenbanken besser zu organisieren, deren Sicherheit zu verbessern und inaktive Abonnenten auszusortieren. Welche Schritte solltest du also unternehmen, um die DSGVO-Anforderungen zu erfüllen?
- Eine Datenschutzerklärung erstellen
- Für jeden Kontakt eine ausdrückliche Einwilligung zur Datenverarbeitung für einen konkreten Zweck vorliegen haben
- Nachweisen können, wann und wie ein Leser seine Einwilligung erteilt hat
- In der Datenschutzerklärung alle weiteren Auftragsverarbeiter nennen
Unsere fertige Vorlage – dein Einstieg in die DSGVO-Dokumentation
Die Informationen, die wir stundenlang zusammengetragen haben, wollen wir nicht für uns behalten. Deshalb haben wir ein detailliertes Dokument mit einer Mustervorlage für die Datenschutzerklärung (DSGVO) erstellt – du füllst es einfach aus, und fertig. Es ist vollgepackt mit Hinweisen und Erklärungen, sodass auch Einsteiger problemlos damit zurechtkommen. 👇
HINWEIS. Wir sind keine Rechtsanwälte und auch keine Datenschutzexperten. Alles, was du hier liest, ist unsere persönliche Interpretation der DSGVO aus der Perspektive von Bloggern. Bei der Recherche haben wir uns auf den Verordnungstext selbst gestützt sowie darauf, wie andere Blogger und Online-Unternehmer das Thema angegangen sind. Betrachte diesen Artikel bitte nicht als Rechtsberatung, sondern als praktischen Leitfaden für deinen konkreten Fall.
Tipps und Tricks für deinen Urlaub
Zahle nicht zu viel für Flugtickets
Suche Flüge auf Kayak. Es ist unsere Lieblingssuchmaschine, weil sie die Webseiten aller Fluggesellschaften durchsucht und immer die günstigste Verbindung findet.
Buche deine Unterkunft clever
Die besten Erfahrungen bei der Suche nach Unterkünften (von Alaska bis Marokko) haben wir mit Booking.com gemacht, wo Hotels, Apartments und ganze Häuser meist am günstigsten und in der größten Auswahl verfügbar sind.
Vergiss die Reiseversicherung nicht
Eine gute Reiseversicherung schützt dich vor Krankheit, Unfall, Diebstahl oder Flugstornierungen. Wir haben bereits einige Krankenhausbesuche im Ausland hinter uns, daher wissen wir, wie wichtig es ist, eine solide Versicherung abgeschlossen zu haben.
Wo wir uns versichern: SafetyWing (am besten für alle) und TrueTraveller (für extra lange Reisen).
Warum empfehlen wir keine deutsche Versicherung? Weil sie zu viele Einschränkungen haben. Sie setzen Limits für die Anzahl der Tage im Ausland, verlangen bei Kreditkarten-Reiseversicherungen oft, dass medizinische Kosten nur mit dieser Karte bezahlt werden, und begrenzen häufig die Anzahl der Rückreisen nach Deutschland.
Finde die besten Erlebnisse
Get Your Guide ist ein riesiger Online-Marktplatz, auf dem du geführte Spaziergänge, Ausflüge, Skip-the-Line-Tickets, Touren und vieles mehr buchen kannst. Dort finden wir immer etwas besonders Spaßiges!
