DSGVO und Rechtliches
Nein, die folgenden Punkte sind keine Rechtsberatung. Das sind nur Tipps, die ich auf dem Weg zu meinen Webseiten gesammelt habe und die auch für dich hilfreich sein könnten. Wenn du eine Rechtsberatung möchtest, wende dich bitte an den Anwalt deines Vertrauens.
21. Kennzeichne Werbung
Besucher*innen deiner Webseite müssen redaktionelle von werblichen Inhalten unterscheiden können. Kennzeichne deshalb Affiliate-Links, Blogartikel oder Produktrezensionen, für die du Geld bekommen hast, transparent.
22. Impressum
Jede Webseite braucht ein vollständiges Impressum. Welche Informationen ein Impressum enthalten muss kannst du in diesem Artikel von Interact Multimedia oder der WKO nachlesen.
Das Impressum darf nicht als Bild eingebunden werden, sondern muss als Text vorhanden sein. Du darfst aber zum Spam-Schutz beispielsweise in deiner E-Mail-Adresse das @ gegen ein (ät) ersetzen. Weiters würde ich dir empfehlen die ganze Impressums-Seite mit "noindex" zu kennzeichnen.
Übrigens brauchen auch alle deine E-Mails ein vollständiges Impressum.
23. Blocke Inhalte von Drittanbietern
Wenn du Inhalte von Drittanbietern in deine Webseite einbindest, dann gibst du automatisch personenbezogene Daten, wie beispielsweise die IP-Adresse, deiner Webseitenbesucher*in ohne deren Einverständnis weiter. Meistens werden deine Besucher*innen von diesen Drittanbieter*innen auch gleich noch getrackt.
Damit du Daten an Dritte weitergeben darfst müssen laut DSGVO aber gewisse Voraussetzungen erfüllt sein. Eine gute Übersicht, wann Daten an Dritte weitergegeben werden dürfen, findest du hier.
Deshalb würde ich dir empfehlen, dass du für Inhalte von Drittanbietern durch eine zwei-Klick-Lösung auf deiner Webseite einbindest.
Hast du beispielsweise ein Youtube- oder Vimeo-Video in deinen Blogartikel eingebunden, kannst du deine Nutzer*in vorher informieren von welchem Anbieter das Video kommt. Weiters kannst du auf die Datenschutzbestimmungen des jeweiligen Dienstes hinweisen und durch den Klick auf einen Button das Einverständnis holen, dass die Daten weitergegeben werden dürfen.
So kann keine Nutzer*in selbst entscheiden, ob sie ihre Daten preisgeben will (sie lädt das Video nach) oder nicht (sie sieht sich das Video nicht an.).
24. Kuratiere deine Kommentare
Ich persönlich gebe Kommentare immer nur händisch frei. Zum einen möchte ich gerne auf das Kommentar antworten und diese Regelung macht es mir möglich keinen Kommentar zu übersehen. Zum zweiten habe ich die Kontrolle über den Inhalt, der auf meiner Webseite gezeigt wird. Ich schütze mich dadurch vor etwaigen Abmahnungen, die mir wegen bedenklichen Inhalten von Dritten, passieren könnten.
25. Lösche die IP-Adressen aus deinen Blog-Kommentaren
Dieser Tipp hängt auch mit der DSGVO zusammen. Die Verordnung sieht nämlich vor, dass nur Daten gesammelt werden, die für den jeweiligen Zweck notwendig sind. Das fällt unter das Prinzip der Datenminimierung.
Für einen Kommentar ist es nicht notwendig, dass die IP-Adresse deiner Nutzer*in gespeichert wird. Deshalb sollte die IP-Adresse deiner Nutzer*in auch nicht gespeichert werden.
Diese Regelung würde ich allerdings nur dann vertreten, wenn alle Kommentare - so wie in meinem Blog - händisch freigegeben werden. So kannst du nämlich Spam-Kommentare, rechtlich bedenkliche Inhalte oder sonstwie anstößige Kommentare gleich aussortieren.
Würde ich meine Kommentare nicht kuratieren und automatisch freigeben, dann würde ich die IP-Adresse sehr wohl mit abspeichern. Denn schreibt jemand einen anstößigen Inhalt unter fremden Namen und fremder E-Mail-Adresse, dann wäre, im Falle eines Rechtsstreits, die IP-Adresse meine einzige Möglichkeit herauszufinden, wer diesen Kommentar wirklich verfasst hat.
26. Deaktiviere deine Avatare
Gravatar ist ein externer Dienst aus den USA, mit dem es möglich ist eine E-Mail-Adresse mit einem Bild zu verknüpfen. Gibst du nun diese E-Mail-Adresse im Kommentar eines Blogs an, dann wird abgefragt, ob diese E-Mail-Adresse bekannt ist und ein Gravatar-Bild dafür vorhanden ist. Wenn ja, wird dein voreingestelltes Bild im Kommentarbereich angezeigt. Wenn nicht, dann wird ein "Default"-Bild verwendet.
Das problematische an diesem Gravatar-Dienst ist nun, dass du Daten von deiner Webseitenbesucher*in weitergibst. Im ersten Fall, wo jemand ein Bild hinterlegt hat, ist das nicht weiter schlimm. Denn diese Person hat ja den Richtlinien von Gravatar zugestimmt. Somit ist die Datenübertragung - aus meiner Sicht - kein Problem.
Im zweiten Fall, wenn kein Gravatar-Bild vorhanden ist, wird es jedoch haarig. Denn in diesem Fall gibst du personenbezogene Daten (IP-Adresse und E-Mail-Adresse) an einen Drittdienst weiter, mit dem weder du noch deine Besucher*in einen Vertrag hat. Das wäre dann - bezogen auf die DSGVO - eine unerlaubte Datenweitergabe für die es weder eine gesetzliche noch irgend eine andere Grundlage gibt.
So schade es auch ist, dass keine Bilder mehr von deinen Kommentator*innen zu sehen sind, würde ich zum Schutz deiner Webseitenbesucher*in die Gravatare trotzdem deaktivieren.
27. Kontrolliere, ob deine Plugins DSGVO-konform sind
Manche Plugins schicken Daten "nach Hause" - also sprich zurück zu ihren Entwicklern. Nicht in allen Situationen ist diese Weitergabe an Daten erlaubt. Kontrolliere deshalb, ob du Plugins einsetzt, die Daten an Dritte weitergeben.
Dabei helfen dir die Blogartikel von Jonas: https://wp-ninjas.de/wordpress-plugins-dsgvo und Finn: https://www.blogmojo.de/wordpress-plugins-dsgvo/.
Die Zwei haben sehr viel Zeit investiert und eine super Übersicht geschaffen, in der du nachschauen kannst, welche Plugins der DSGVO entsprechen und welche nicht.
28. Informiere deine Nutzer*innen, was sie beim Abonnieren deines Newsletters bekommen
Ich weiß einfach selbst gerne worauf ich mich einlasse und weiß, dass es vielen meiner Kund*innen ebenfalls so geht. Deshalb schreibe ich im Klartext dazu, was jemanden erwartet, wenn sie meine [TECHNIKpost] abonniert.
Das gleiche solltest du auch für deinen Newsletter machen. Informiere deine Abonennt*innen vor dem Eintrag darüber wie oft dein Newsletter kommt und welche Inhalte du bietest. Wenn du einen Newsletter-Dienst aus einem Drittland außerhalb der EU (z.B. USA) verwendest dann informiere deine Nutzer*innen auch über die Weitergabe von Daten in einen Drittstaat.
29. Weise deine Besucher*in darauf hin, wenn du Cookies verwendest
Die meisten Webseiten verwenden Cookies in irgend einer Form. Durch die EU-Cookie-Richtlinie hast du als Webseitenbetreiber*in die Pflicht deine Besucher*innen über die verwendeten Cookies zu informieren.
Verwendest du Google AdSense oder Google DoubleKlick ist es sogar notwendig, dass du dir die Einwilligung deiner Nutzer*innen holst - also ein Opt-In anbietest.
Weitere Informationen zu Cookies findest du hier oder hier (für Österreich).
30. Erfülle deine Informationspflichten
Durch die DSGVO ist wieder ins Bewusstsein gerückt, dass du als Webseitenbetreiber*in einige Informationspflichten hast. Nicht nur das Impressum muss vollständig sein, sondern auch die Datenschutzerklärung.
Achte deshalb darauf, dass du deine Besucher*innen an den richtigen Stellen die Informationen anbietest, die sie sehen sollen bzw. müssen.
Weiters müssen diese Informationen vollständig sein. Wenn sich etwas ändert musst du sie ergänzen oder korrigieren.
Eine tolle DSGVO-Checkliste stellt Finn auf seinem Blog zur Verfügung. Schau auf Blogjmojo vorbei und gehe sie Punkt für Punkt durch.
Landingpages
Landingpages sind Seiten, wo du die Aufmerksamkeit der Nutzer*in genau zu einer Aktion hin führst. Deine Besucher*in soll eine konkrete Handlung ausführen.
Damit das gelingt, braucht es einige Voraussetzungen. Diese beschreibe ich dir im folgenden Abschnitt.
31. Mach‘ dir das Ziel deiner Landingpage bewusst
Aus meiner Sicht, ist das der erste Schritt beim Erstellen einer Landinpage.
Ich frage mich: "Was soll meine Besucher*in tun? Was ist mein Ziel?".
Wenn ich die EINE Handlung formuliert habe, die ausgeführt werden soll, dann gehe ich weiter zu nächsten Frage: "Was braucht meine Nutzer*in um diese Handlung ausführen zu können?"
So baue ich mir Schritt für Schritt meine Landingpage auf.
32. Stelle alle Pop-ups aus!
Auf einer Landingpage brauchst du keine Ablenkungen. Und meist sind deine Kund*innen beim Lesen deiner Landingpage sehr vertieft. Da ist ein Pop-up einfach nur kontraproduktiv.
Wenn ich gerade mitten im Lesefluss einer Landingpage bin und mir ein Pop-up ins Gesicht springt, dann verlasse ich meist die Landingpage.
Mach' es also deinen Besucher*innen leicht auf deiner Landingpage zu bleiben und die EINE gewünschte Handlung ausführen.
33. Gestalte deine Landingpage so, dass sie deine Nutzer*innen nicht verwirrt
Eine Landingpage soll klar und deutlich zur Handlung hinführen. Wenn deine Benutzer*in vom Angebot verwirrt ist, dann wird sie die Seite verlassen, ohne etwas geklickt zu haben.
Gehe deshalb deine Landingpage immer aus der Sicht deiner Nutzer*in durch. Ist dieser Abschnitt für deine Nutzer*in genau das, was sie gerade braucht? Ist dieser Schritt aus Sicht deiner Besucher*in sinnvoll und logisch?
34. Löse Gefühle in deinen Nutzer*innen aus
Der Spruch "Kopfkino statt Hirntod" von Anja Strassburger bringt es, finde ich, genau auf den Punkt.
Mir geht es nämlich selbst so, dass ich bei einem Text, der viele Fachwörter hat und kompliziert zu lesen ist, total aussteige. Ich brauche Kopfkino, ich muss mir etwas vorstellen können.
Wenn ich mir ein abstraktes Bild ansehe, dann kann ich es wunderschön finden. Aber richtig Gefühl löst so ein Bild bei mir selten aus. Meist taucht bei mir eher ein großes Fragezeichen im Kopf auf, was denn dieses Bild aussagen soll oder was die Künstler*in meint.
Sehe ich mir hingegen ein Bild an, wo ein klares Motiv zu sehen ist, dann weiß ich welche Situation die Künstler*in darstellen wollte. Zusätzlich kann ich mich in das Motiv hineinfühlen.
Und so sollten auch deine Landinpage-Texte ankommen. Vermittle deiner Nutzer*in ein klares Bild davon, welche Dienstleistung oder welches Produkt du anbietest. Und sie muss sich darin auch wiederfinden können.
Achte deshalb darauf, dass du mit deinen Texten ein emotionales Bild für deine Nutzer*in malst. Texte dürfen Gefühle und Kopfkino auslösen und nicht den Reflex "Ich will weglaufen." 😉 (Das darf ich übrigens auch noch kräftig üben.)
Anja's Webinare und ihre Challenge sind übrigens sehr zu empfehlen!
35. Wie leicht sind deine Texte lesbar?
Dieser Punkt gilt nicht nur für deine Landingpages, sondern für deine gesamte Webseite. Je leichter du deinen Nutzer*innen verständlich machst, was du anbietest, desto eher werden sie es verstehen.
Zum Evaluieren der Schwierigkeit meiner Texte schicke ich sie gerne durch den Prozess von www.leichterlesbar.ch.
Dadurch bekomme ich einen Eindruck wie schwierig der Text für andere zu lesen ist. Denn für mich sind meine Texte immer gut zu lesen 😉 weil ich den Kontext kenne.
36. Optimiere deine Landingpage für Mobilgeräte
Sehr viele Nutzer*innen greifen mittlerweile von Mobilgeräten auf Webseiten zu. Achte daher darauf, dass deine Landingpage auch mobil funktioniert.
Formulare, die beispielsweise mobil nicht benutzbar sind werden deine Nutzer*in frustrieren und bringen dir keine Verkäufe oder Newsletter-Einträge.
Wie deine Landingpage mobil aussieht, kannst du mit Online-Tools wie beispielsweise http://mobiletest.me/ herausfinden.
Sicherheit
37. Verwende starke Passwörter
Achte drauf, dass du ein gutes Passwort hast. Ich würde dir mindestens 16 Zeichen empfehlen (aber bitte keine Namen oder Daten, die mit dir zu tun haben). Am besten ist ein vollständiger (sinnloser, aber leicht zu merkender) Satz inklusive Leerzeichen und Punkt dahinter z.B. "Mein Goldfisch war heute verwirrt und fiel aus dem Glas." 😉
(Und ne, ich hab keinen Goldfisch, kein Aquarium... den Satz habe ich einfach zusammengebastelt.).
38. Lösche den Benutzer „admin“
Der Standard-Wordpress-Benutzer "admin" ist besonders häufig Angriffen von außen ausgesetzt. Lösche diesen Benutzer deshalb.
So müssen potenzielle Angreifer*innen erst mal deinen WordPress-Benutzernamen ausfindig machen, bevor sie eine Passwort-Attacke starten können.
39. Aktiviere ein SSL-Zertifikat für deine Seite
Wenn du ein SSL-Zertifikat für deine Webseite nutzt, dann werden die Daten zwischen deiner Besucher*in und der Webseite verschlüsselt übertragen.
Falls du also noch kein SSL-Zertifikat verwendest, sollte das in den nächsten Tagen Priorität 1 bekommen. Nicht nur, weil Dritte sonst, den Datenverkehr zwischen deiner Benutzer*in und der Webseite mitlesen können, sondern auch, weil du damit die Gefahr eine Abmahnung verringerst.
40. Setze deine Dateirechte richtig
Das ist ein WordPress-Admin-Thema. Da ich es aber wichtig finde, dass du mal davon gehört hast, dass es verschiedene Dateirechte auf deinem Webspace gibt, erwähne ich diesen Punkt hier.
So richtige Einsteiger-Artikel zum Thema habe ich bis jetzt nicht gefunden. Aber der Artikel von Ernesto "Dateirechte: Warum eigentlich?" erklärt diese Thematik sehr gut.
Diesen Punkt solltest du nur gemeinsam mit deiner Techniker*in des Vertrauens angehen. Spielst du nämlich mit den Dateirechten herum, ohne, dass du weißt was du tust, kann es sein, dass du Hackern die Tür sperrangelweit offen hältst. Probier' diesen Punkt also bitte nicht alleine aus, sondern lass dir dabei helfen.
Was die YT-Videos angeht, da gibt es doch die Option bei YT selber, dass ma das Einbetten im erweiterten Datenschutzmodus macht. Das ist dann ein anderer Code, als das normale einbetten. Damit wird es automatisch Datenschutz konform und man spart sich da so lästige Hinweise.
Liebe Claudia,
ja diese Option gibt es auch. Soweit ich weiß wird aber an Youtube trotzdem die IP-Adresse weitergereicht bei dieser Lösung.
Wenn man also wirklich keine Nutzer*innen-Daten automatisch weitergeben möchte, kommt man um eine zwei-Klick-Lösung, meiner Meinung nach, nicht herum.
Deshalb gibt’s bei mir so lästige Hinweise 🙂
Lieben Gruß
Sara