Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Das ist prinzipiell eine gute Sache, weil sie das Recht des Einzelnen über ihre/seine Daten schützen soll. Leider sorgt dies auch für Unsicherheit, Massen-Emails und allgemeine Nachträglich-Zustimm-Aufforderungs-Not. Da sich auch dieser Blog gerne innerhalb gesetzlicher Rahmenbedingungen bewegen möchte, ein paar Hinweise:

Dieses Blog ist ein Hobby, dennoch fließen ab und zu ein paar Euro, auch wenn sie gerade mal die Server-Kosten decken können. Das macht mein Blog zu einem „Unternehmen, das in der EU ansässig ist“. Und weil dazu auch eine Kommentarfunktion, ein Kontaktformular, ein Newsletter und die statistische Analyse von Besucherdaten gehört, verarbeitet mein Blog damit auch „personenbezogene Daten“.

Mein „Unternehmen“ ist ein Ein-Mann-Unternehmen, also bin ich im Sinne der DSGVO für alles verantwortlich, was rund um mein Blog passiert. Insbesondere bin ich mein eigener Datenschutzbeauftragter. Bitte nehmt daher Rücksicht, dass ich ggf. Anfragen, Löschungs-Gesuche und andere administrative Aufgaben nur im Rahmen meiner Freizeit erledigen kann und das daher mitunter etwas länger dauern kann.

Wer Kommentare auf meinem Blog hinterlässt, gibt mir damit gleichzeitig die Erlaubnis, die dafür benötigten Daten zu verarbeiten, weil sonst Kommentare ganz einfach nicht funktionieren. Da ich keine Zeit habe, mein eigenes Kommentar-System zu bauen (vielleicht kommt das ja noch) und weil das andere viel besser programmieren und betreiben können als ich, verwende ich den Kommentar-Dienst „Disqus“. Das kann man unschwer an dem Kommentar-Feld unter jedem Blog-Artikel erkennen, weil dort das Disqus-Logo erscheint und darauf weise ich klar in der Datenschutzerklärung dieses Blogs hin. Disqus hat seine eigenen Informationen zur DSGVO veröffentlicht (die im EU-Jargon „GDPR“ heißt): Disqus: Update on Privacy and GDPR Compliance. Wer seine Daten nicht an Disqus weitergeben möchte, sollte die Kommentarfunktion meiden und mir statt dessen eine E-Mail an info@paleosophie.de schicken oder das Kontaktformular auf dieser Webseite benutzen.

Das Kontaktformular habe ich nämlich selber gebaut und daher kann ich bestätigen, dass alle Daten nach aktuellen Stand der Technik während der Übertragung und Speicherung verschlüsselt werden und vor dem unberechtigten Zugriff durch Dritte geschützt sind. Dabei verwende ich, wie auch für das Hosting aller Webseiten Server, Dienste und Technologien von Amazon Web Services (AWS), meinem Arbeitgeber. Wer genau wissen möchte, welche technischen und organisatorischen Schutzmaßnahmen AWS verwendet, findet dazu Informationen auf den folgenden zwei Webseiten: Amazon Web Services Security Homepage und Amazon Web Services Compliance Homepage. Was gut genug für Netflix, NASA, Siemens, BMW und die Deutsche Bahn ist, ist auch für mich gut genug.

Zum Stand der Technik gehören auch Cookies, die Daten auf Web-Browsern speichern können, damit Web-Server ihre Besucher wieder erkennen können. Die Server, die die Webseiten ausliefern speichern Übertragungs-Daten in sog. Log-Dateien, die aufzeichnen, welche Seiten wann und von welcher IP-Adresse besucht wurden und welche Technologien dabei vom Web-Browser verwendet wurden sowie viele weitere technische Daten, die man auch zu Besucher-Profilen und anderen Analysen verwenden kann. Dazu gehören auch Web-Tracking-Technologien wie Google Analytics, was auch auf dieser Webseite Verwendung findet. Diese Methoden helfen mir, zu verstehen, welche Artikel populär sind und welche nicht, wie viele Leser ich habe, warum sie sich auf meiner Webseite verirrt haben und was ich vielleicht tun könnte, um diese Webseite für Euch, liebe Leser interessanter zu gestalten. Wer ein solches Tracking vermeiden möchte, sollte einen Anonymisierungs-Dienst wie z. B. TOR verwenden und/oder einen VPN-Dienst, der die Internet-Verbindung z. B. bei Nutzung eines öffentlichen Internet-Zugangs verschlüsseln und die geografische Herkunft verschleiern kann.

Ein paar Seiten enthalten Plugins von YouTube oder Vimeo, um Videos anzuzeigen. Dabei handelt es sich um Dienste, die ebenfalls wissen möchten, welche Inhalte interessant für welche Nutzergruppen sind, etc. und daher kommen diese Plugins mit ihren eigenen Tracking-Technologien. Facebook-, Twitter- oder andere Plugins von anderen sozialen Netzwerken verwende ich nicht.

Diese Webseite betreibt auch einen Newsletter und weil der Massenversand von Emails ebenfalls nicht zu meiner Kernkompetenz gehört, habe ich die technischen Details dazu an den Dienst „Mailchimp“ ausgelagert. Dabei habe ich mich von Anfang an dafür entschieden, bei der Anmeldung einen sogenannten „Double-Opt-In“ zu verwenden. Das bedeutet, dass ich für jedes Mitglied meines Newsletters nachweisbar eine Einwilligung bei der Anmeldung bekommen habe und Ihr Euch daher bei mir nicht noch ein zweites Mal anmelden müsst. Natürlich kann sich jeder wieder von meinem Newsletter austragen, wann sie/er will, dazu enthält jede meiner Newsletter-Mails einen entsprechenden Austrage-Link. Wer will, kann mir auch direkt eine Mail schreiben, dann trage ich die/denjenigen gerne auch persönlich aus dem Newsletter wieder aus. Natürlich hoffe ich, dass mein Newsletter interessant genug ist, dass das nicht zu häufig passiert, aber wir alle ändern von Zeit zu Zeit unsere Präferenzen und das ist auch gut so.

Bei der Auslagerung von IT an Drittanbieter ist es eine gute Idee, eine sog. Auftragsdatenverarbeitungsvereinbarung abzuschließen. Das habe ich mit allen Anbietern wo möglich gemacht. Zurzeit sind das Amazon Web Services, Mailchimp und Google. Bei Disqus habe ich dazu noch keine Möglichkeit gefunden, daher verfolge ich die Entwicklung dort mit einem etwas strengeren Auge. Alle Anbieter sind jedoch nach dem sog. EU-US Privacy Shield zertifiziert.

Zu den neuen DSGVO-Regelungen gehört auch das Recht, vergessen zu werden. Wer das möchte, kann mir gerne dazu eine Mail schreiben, dann trage ich sie/ihn gerne aus meiner Mailingliste aus, suche alle Kommentare und Emails heraus die zu der betreffenden Person gehören und lösche diese.

Ansonsten beantworte ich als frisch gebackener Hobby-Datenschutzbeauftragter gerne auch alle weiteren Fragen zum Thema Datenschutz auf dieser Webseite sowie zu Details dazu, wie ich welche Daten auf dieser Webseite verarbeite.

Dieser Artikel ist nur meine laienhafte Auffassung ausgewählter Themen und ist daher lediglich nur als Kommentar zu betrachten. Wer es genau wissen möchte, sollte die Datenschutzerklärung zu dieser Seite durchlesen, die alle Details enthält und von Leuten formuliert wurde, die die DSGVO viel besser kennen als ich. Wer sowas für die eigene Webseite braucht, dem empfehle ich die Webseite von eRecht24.de. Toll finde ich auch, dass der Rechtsanwalt Dr. Thomas Schwenke einen für Privatpersonen und Kleinunternehmer kostenlosen Datenschutz-Generator gebastelt hat.

