Mit der Einführung der Datenschutz-Grundverordnung im Mai 2018 wurde ein neuer Rechtsrahmen für die Erhebung und Verarbeitung personenbezogener Daten geschaffen. Mit dieser Verordnung sollen die Rechte der Verbraucher in Bezug auf ihre Daten europaweit gestärkt werden. Der genaue Wortlaut, kann im offiziellen Amtsblatt der europäischen Union (EU-Verordnung 2016/679, 1047 KB PDF) nachgelesen werden.
Auch wir mussten uns ausgiebig mit dieser Verordnung auseinandersetzen, da wir als Betreiber einer Blog-Plattform personenbezogene Daten erheben und verarbeiten. Das stellt uns als kleines Unternehmen vor große Herausforderungen, da uns mit Inkraftsetzung der Verordnung auch einige rechtliche Risiken übertragen wurden.
Warum wurde die Verordnung geschaffen?
Die Verordnung wurde ursprünglich geschaffen, um
a) einen einheitlichen Rechtsrahmen in ganz Europa zu haben
b) das industriemäßige Sammeln, Verarbeiten und Verknüpfen von Daten – vor allem durch die großen Internet-Konzerne – zu beschränken und
c) die Firmen zu mehr Transparenz im Umgang mit Nutzerdaten zu zwingen.
Diese Ziele sind durchaus löblich und werden durch uns definitiv unterstützt. Aber die daraus entstehenden Aufwände sind nicht unerheblich.
Was bedeutet die Datenschutz-Grundverordnung für Auslandsblog.de?
Für uns als deutschen Blog-Anbieter war es seit jeher ein großes Anliegen, die Daten unserer Nutzer zu schützen und uns bewusst von den internationalen Datenschleudern abzugrenzen. Von daher wurden die Grundsätze
- Datensparsamkeit,
- Datenschutz und
- Datentransparenz
bereits gelebt und größtenteils umgesetzt. Dennoch mussten wir weitere Maßnahmen umsetzen, um auch den neu hinzugekommenen rechtlichen Anforderungen gerecht zu werden.
Was hat Auslandsblog.de konkret umgesetzt, um den neuen Datenschutz-Anforderungen gerecht zu werden?
Wir haben in den letzten Monaten einige Anpassungen vorgenommen, um unseren Nutzern den bestmöglichen Schutz ihrer Daten zu ermöglichen. Die Maßnahmen betreffen übrigens nicht nur registrierte Blogger, sondern auch anonyme Besucher unserer Website.
Nutzen von Verschlüsselung
Die von uns bereitgestellten Inhalte (Webseiten, Bilder und sonstige Inhalte) werden ausschließlich über eine verschlüsselte Verbindung mittels HTTPS geladen. Dafür haben wir SSL-Zertifikate eingeführt, welche zur Verschlüsselung des Datenverkehrs zwischen euch und unseren Server verwendet werden. Dadurch können Dritte (z.B. Betreiber von WLAN-Hotspots) den Datenverkehr nicht mehr mitlesen.
Keine Verwendung von externer CDN
Wir verwenden kein CDN (Content Delivery Network) für die Auslieferung von statischen Dateien wie JavaScript-Dateien oder Style-Sheets. Durch die Nutzung von CDN werden die Daten von fremden Servern geladen, um die Auslastung des eigenen Servers etwas zu entlasten. Das Problem dabei ist aber, dass mit jedem Zugriff auf einem fremden Server auch eure IP-Adresse an diesen Server übermittelt wird. Was die Anbieter von CDNs mit diesen Informationen machen, können wir nicht beeinflussen und möchten wir auch nicht verantworten. Von daher verzichten wir gänzlich auf CDNs, auch wenn dadurch unser eigener Server stärker belastet wird.
Umstellung von Google Map auf OpenStreetMap
Ein weiterer externer Dienst, der weltweit auf vielen Webseiten verwendet wird, ist die Einbindung einer Google Map. Auch hier werden statische Dateien (JavaScript, CSS, Karten) von einem fremden Server geladen, bei dem mindestens eure IP-Adresse übermittelt wird. Oftmals werden hier auch noch Cookies gesetzt, um euer Verhalten besser zu analysieren. Das möchten wir euch nicht zumuten und setzen daher auf die Open-Source Kartenanwendung Leaflet in Verbindung mit Kacheln von OpenStreetMap. Beides wird auf unseren Servern abgelegt, um Zugriffe auf weitere externe Dienste zu vermeiden.
Kein Google Analytics
Von Google stammt auch ein weiterer Dienst, der vielfach im Internet verwendet wird. Mit Google Analytics kann man die Besucher und deren Verhalten auf der Website verfolgen und auswerten, um seine Dienste genau auf die Bedürfnisse der Nutzer einzurichten. Das klingt erst mal recht nützlich, aber auch hier werden die Nutzer zum gläsernen Kunden. Wir sind davon überzeugt, dass es andere Mittel gibt, um die Nutzerzufriedenheit zu erfahren (z.B. über das Feedback-Formular, über das ihr uns regelmäßig mit Anregungen versorgt) und verzichten daher auf Google Analytics.
Server in Deutschland
Nicht nur aus Datenschutz-Gründen, sondern auch aus Performance-Gründen haben wir uns bewusst für das Hosting in Deutschland entschieden. Auch wenn ihr selbst aus dem Ausland schreibt, kommen die Mehrzahl unserer Besucher nach wie vor aus Deutschland. Sie alle möchten schnell euren Blog lesen und nicht die Informationen durch die halbe Welt schickten und dabei überall einen elektronischen Fingerabdruck hinterlassen.
Verzicht auf HTML E-Mails
Wir versenden E-Mails immer nur mit reinem Text ohne HTML-Code. Wir verzichten auf aufwändige Designs und übersenden die Botschaften in reinem Text. Damit werden beim Lesen der E-Mails keine Bilder oder Skripte nachgeladen, die eine detaillierte Nachverfolgung (Tracking) eures Verhaltens ermöglichen.
Weitere Maßnahmen für mehr Datenschutz
Darüber hinaus haben wir eine Vielzahl kleinerer Schritte durchgeführt, um den Anforderungen der Datensparsamkeit und Datentransparenz gerecht zu werden. Dazu gehört beispielsweise, dass wir beim Absenden von Formularen eine Einwilligung von euch einfordern. Zudem haben wir den Datenexport erweitert, so dass ihr nun alle eure Daten einfach herunterladen könnt. Kleinere Dienste mit geringer Nutzung wie Gravatar haben wir von unseren Seiten entfernt.
In Zukunft wollen wir die Verwendung von Cookies auf ein technisch notwendiges Maß reduzieren, so dass man weniger Informationen auf dem Computer hinterlässt.
Was ändert sich für euch Blogger?
Für die aktiven Blogger unter euch ändert sich gar nicht so viel. Ihr dürft unseren Blog-Dienst weiterhin nur für private und nicht-kommerzielle Zwecke nutzen, womit einige gesetzliche Anforderungen abgeschwächt werden. Ihr dürft weiterhin nur von euch erstellte Inhalte auf das Blog einfügen, um keine Urheberrechtsverletzungen zu begehen. Zur Veröffentlichung von Fotos müsst ihr nach wie vor eine Genehmigung bei den abgelichteten Personen einholen, da ihr sonst in die Persönlichkeitsrechte der Personen eingreift.
Was ist die Kehrseite?
Wir versuchen gerade beim Thema Datenschutz vieles besser zu machen als etablierte Internet-Konzerne. Das Ganze geht natürlich nicht ohne zusätzliche Aufwände und Kosten für uns. Deshalb ist bei uns der Leistungsumfang von kostenlosen Paketen überschaubar, da wir eure Daten nicht weiter vermarkten wollen. Zudem müssen wir für Premium-Dienste realistische Gebühren verlangen, die im Verhältnis zu den uns entstehenden Kosten stehen. Letztendlich entscheidet ihr selbst, ob welche Prioritäten ihr bei der Auswahl des Blog-Anbieters habt und was euch das Wert ist.