Umstellungen wegen der DSGVO

(zuletzt aktualisiert am 11.4.2018)

Wer eine Website mit oder ohne Blog betreibt, sollte sich bis 25. Mai 2018 soweit bisher möglich an die Anforderungen der kommenden europaweit gültigen Datenschutz-Grundverordnung (kurz DSGVO) angepasst haben. Unter https://www.vibrio.eu/blog/die-dsgvo-fuer-blog-betreiber-dem-grauen-begegnen/ ist ein gut verständlicher Artikel samt To-Do-Liste dazu erschienen, an dem ich mich auch abgearbeitet habe…

WICHTIG:
Ich dokumentiere hier meine Gedanken und Vorkehrungen.
Dieser Artikel soll und kann also keine Rechtsberatung ersetzen!

Einiges, was im o.g. Artikel steht, war auch schon vorher aktuell, und so war ich in einigen Punkten bereits up to date:

Was ich schon vorher umgesetzt hatte

  • Cookie-Hinweis: Ich nutze dafür das Plugin Cookie Law Info
  • Sharing: Das Plugin Shariff Wrapper bietet datenschutzkonforme statische Links (statt der von den einzelnen Plattformen oder von anderen Anbietern angebotenen Skripte – wie dem Likebutton – , die nach Hause funken). Siehe dazu auch:
  • Datenschutz-Erklärung: Diese sollte regelmäßig kontrolliert und aktualisiert werden. Gerade wenn man neue Plugins installiert oder sonst etwas an den technischen Gegebenheiten ändert. Für die Basis habe ich hier den Datenschutz-Generator von RA Dr. Thomas Schwenke benutzt, den er übrigens auch gerade im Hinblick auf die DSGVO überarbeitet. Darüber hinaus habe ich meine mit anderen Datenschutzerklärungen verglichen und Rücksprache mit Fachleuten gehalten.
  • Impressum und Datenschutzerklärung von jeder einzelnen webpage mit nur einem Klick erreichbar und die Links dazu vorzugsweise immer an derselben Stelle zu finden.
  • Zustimmung abgebildeter Personen: Das sollte eigentlich längst selbstverständlich sein. Bevor ich Bilder von jemandem (gerade Portraits) veröffentliche, hole ich deren Genehmigung ein.
  • Bildnachweise: Wenn ich Bilder von jemand anderem nutze, die eines Nachweises bedürfen, dann poste und verlinke ich den – soweit möglich – auch.
  • SSL-Verschlüsselung
  •  Einbetten von YouTube-Videos mit Aktivierung des erweiterten Datenschutzmodus.
  • Spam-Plugin Antispam Bee: Laut Plugin-Website ist es „konform mit den europäischen Datenschutzstandards“ und die hier genannten Stolperfallen habe ich bereits vermieden.

Was ich inzwischen angepasst habe

  • Statistik-Plugin: Da mich nur grob interessiert, wie sich die Besucherzahlen hier im Blog verhalten, aber keine tiefergehende Analyse betreibe, habe ich das Plugin Jetpack, mit dem ich früher via wordpress.com meine Zahlen abgerufen habe, durch das datenschutzkonforme Statify ersetzt. Google Analytics nutze ich nicht, aber für die, die es tun: siehe o.g. Artikel von vibrio.
  • Zustimmung bei Kommentar: Hier habe ich das von vibrio empfohlene Plugin WP GDPR Compliance nachgerüstet.
    Dabei musste ich leider feststellen, dass es nicht überall kompatibel ist. Bei Kais Blog z.B. funktionierte es mit dem Theme Baskerville nicht. Erst als ich dort das Theme gewechselt habe, erschien das Auswahlfeld mit dem dazugehörigen Text im Kommentarbereich.
  • Folgekommentare abonnieren: Was früher Jetpack für mich erledigt hat, macht jetzt Subscribe to comments reloaded und das mit noch mehr Optionen. (Danke für den Tipp an Alexander Schestag!)
  • ips anonymisieren: Hier nutze ich (ebenfalls auf Rat von Alexander Schestag) das Plugin Remove IP
  • Komplett anonyme Kommentare erlauben: Ich habe außerdem die WordPress-Einstellung „Benutzer müssen zum Kommentieren Name und E-Mail-Adresse hinterlassen“ unter Einstellungen > Diskussion deaktiviert.
  • Google Fonts lokal laden: Dazu gibt es eine sehr anschauliche Anleitung unter wp-ninjas.de (Danke für den Tipp an Peter Müller!), wobei ich die Schriften im Bereich „Zusätzliches CSS“ unter Design > Customizer gespeichert habe, was ein Child-Theme (solange man nur das CSS anpassen will) unnötig macht.
    Es gibt übrigens auch Themes, die ihre Fonts von vornherein mitbringen und daher gar nicht erst nach Google funken. Generate Press zum Beispiel, das in der Premium-Version in so ziemlich jeden Look verwandelt werden kann, aber auch in der Standard-Version schon sehr flexibel ist. Ich verwende es jetzt auch hier.

Sonstiges

  • Ob ich auch für ein privates Blog ein Verfahrensverzeichnis benötige, oder ob das nur geschäftliche Websites betrifft? – Antwort: s. Kommentar von Matthias
  • Kontaktformulare habe ich keine und auch sonst keine selbst erstellten, über die ich personenbezogene Daten erhebe. Nur die Kommentarformulare von WordPress selbst (s. oben). Meine Downloads sind nicht nur kostenlos, sondern auch ohne Anmeldung zu haben.
  • Ich habe mir die Browser-Erweiterung Ghostery heruntergeladen und überprüfe damit meine Website auf Elemente, die Nutzerdaten tracken.
  • Soundcloud – Via Ghostery habe ich dann festgestellt, dass Soundcloud-Player offenbar große Tracker sind. Das bestätigt auch der Datenschutz-Generator von erecht24.de:

    Das Einbinden der Funktionalitäten und Plugins von SoundCloud auf Websites ist in Deutschland nicht ohne rechtliches Risiko möglich, da hier unter Umständen ungefragt Daten der Websitebesucher an den Anbieter des Dienstes übertragen werden. Nach Ansicht einiger Gerichte und Datenschutzbehörden genügt dafür ein Hinweis in der Datenschutzerklärung nicht. Empfohlen wird hier eine ausdrückliche Einwilligung der Nutzer.

    Man muss also entweder eine Einwilligung vorschalten (für Laien eher schwierig) oder aber statt Eininden des Players auf den entsprechenden Track auf soundcloud.com verlinken. Dort wird dann zwar getrackt, aber das ist dann nicht mehr in meiner Verantwortung. 😉 Falls jemand weiß, wie man Soundcloud auf andere Weise datenschutzsicher einbetten kann, möge sich bitte melden.

Für meine Leser gibt es leider auch Auswirkungen

Das Abonnieren meiner Blogartikel: Da ich für den von mir genutzten Dienst Feedburner keinen Auftragsverarbeitungsvertrag von Google finden konnte, werde ich Feedburner nach Versand dieses Artikels leider deaktivieren und entfernen. Mailabonnenten kann ich selbst löschen (Alternative s. unten), habe ich Feedburner inzwischen gelöscht. Wer RSS nutzt, muss die dafür genutzten Links zu den u.g. ändern. Alternative für Mailabonnenten siehe unten:

Wer also meine Blogartikel abonniert hat, der muss das erneut mit den direkt von WordPress angeboteten Feeds tun:

Da ich mir nicht sicher war, ob die Bereitstellung eines RSS-Feeds dem Anbieten eines Newsletters entspricht, habe ich mich bei RA Dr. Thomas Schwenke erkundigt und Entwarnung bekommen:

Der RSS-Feed ist keine “elektronische Post” (wie Newsletter juristisch bezeichnet werden), die zu den Lesern gesendet wird (“push”), sondern wird passiv bereitgestellt und von den Lesern abgeholt (“pull”). Damit entspricht es nicht einem Newsletter.

War’s das?

Soweit mein derzeitiger Kenntnisstand. Sollte ich etas übersehen haben, freue ich mich über hilfreiche Hinweise. Ich denke, wir tun alle gut daran, uns gegenseitig zu helfen. Danke jedenfalls an alle, die Hifestellungen dazu anbieten, v.a. die oben Genannten.

Am Anfang wird es sicher Chaos geben, aber hoffentlich führt das alles zu einer Richtlinie, die auch in der Praxis und für Nichtjuristen verständlich und  zumutbar umzusetzen ist…

Noch ein guter Artikel: https://www.content-iq.com/2018/03/22/dsgvo-fuer-einzelunternehmer-und-freelancer/

Möglicherweise werden noch neue Plugins entwickelt oder WordPress selbst  wird Einstellungsoptionen (z.B. für das Anonymisieren von ips) anbieten. Inzwischen können die ,die keine web-Entwickler sind, oder einen zu Verfügung haben, nur abwarten und hoffen…

Titelfoto: pixabay

Ich mach was mit Schreiben: Bloggerin, Autorin, freie Journalistin, Online-Redakteurin, (Fach)Lektorin. Übrigens: Ich verorte mich selbst im autistischen Spektrum, (re)agiere also nicht immer so, wie andere es erwarten. 😉 Portraitfotografin, chronisch digital und vor allem Mensch. #teamsutsche

12 Gedanken zu “Umstellungen wegen der DSGVO

  1. Ich habe bereits bei Sascha einiges zum Thema kommentiert. https://blog.assbach.de/2018/03/dsgvo/

    Je nachdem wie streng man die DSGVO interpretiert, muss man noch weiter gehen. IP-Adresse als personenbezogenes Datum bedeutet, dass keinerlei externe Ressourcen genutzt werden dürfen. Etwa Google Fonts, Javascript auf einem CDN oder auch Gravatar sind nicht erlaubt, weil dabei immer die IP an den jeweiligen Anbieter übertragen wird.

    Auch der Hoster hat Zugriff auf die Daten. Also braucht es einen Auftragsdatenverarbeitungsvertrag. Falls möglich sollte man Logs ausschalten oder zumindest pseudonymisieren (letzte Stellen der IP entfernen).

    Auch wenn man die Statistik über den eigenen Server erhebt, muss man ihn dir Datenschutzerklärung schreiben, wie lange die Daten gespeichert werden und der Hinweis, dass man seine Daten entfernen lassen kann. Zumindest wenn sie personenbezogen (IP) sind.

    Gravatar ist doppelt problematisch. Es wird einmal beim abrufen die E-Mail-Adresse an Gravatar gesendet. Unabhängig davon, ob die Person ein Konto dort hat oder nicht. Und dann nochmals bei jedem Abruf die IP Adresse der Besucher_in.

    Auf meinem Blog habe ich versucht so umzusetzen, dass keine externen Ressourcen mehr genutzt werden, keine Cookies gesetzt werden und bei einem normalen Aufruf keine Daten erhoben werden.

    • Danke, Luca. Nun bist Du auch in der Lage, das selbst technisch umzusetzen. Der Großteil der Blogbetreiber da draußen aber vermutlich nicht…
      Gestern wurde ich schon gefragt, ob es dafür Dienstleister gibt. Mir ist da keiner bekannt. Dir?

      • Grundsätzlich alle Webentwickler. Im besonderen empfehle ich Robert Harm und Ernesto Ruge, wenn es um WordPress geht.

        Für viele ist es sicherlich ein Problem. Gerade weil WordPress immer als die einfache Lösung gepriesen wurde, die jede_r nutzen kann. Dazu Webhoster, die es als Ein-Klick-Instellation anbieten und man brauchte nie jemanden, der sich mit den Untiefen des Systems auskennt.

        Ich habe aber Hoffnung, dass es hier in den nächsten Wochen noch einige Vereinfachungen geben wird.

        Menschen ohne dem technischen Knowhow oder WordPress-Betreuer_in werden darauf achten müssen DSGVO-kompatible Themes und Plugins einzusetzen.

    • @Luca Logs serverseitig ausschalten ist nicht notwendig und auch nicht ratsam, da Serverlogs mit vollständigen IP-Adressen nach einem Urteil des EuGH zur Abwehr von Angriffen grundsätzlich erlaubt sind. Patrick Breyer wollte ja das Gegenteilige erreichen, ist aber damit nicht durchgekommen. Daran dürfte auch die DSGVO nichts ändern. Alleine schon für die Abwehr akuter Angriffe, die bei großen WordPress-Blogs zeitweise zu tausenden täglich aufschlagen, ist das zwingend notwendig, und das hat auch das Gericht damals zugestanden. Hier empfehle ich übrigens den Einsatz von fail2ban + wp fail2ban, weil das die IP-Adressen auf Serverebene via iptables blockt und nicht jedesmal zur Überprüfung PHP-Prozesse auf Webserverebene, die zusätzlich Last erzeugen, gestartet werden müssen. Voraussetzung dafür sind root-Rechte auf dem Server.

      Statistiken dürften dann unproblematisch sein, wenn man die IP anonymisiert, indem man mindestens die letzte Stelle löscht. Ansonsten werden dabei ja eher keine personenbezogenen Daten erhoben. Bei Lösungen wie Piwik ist das schon lange möglich. Die Entfernung der Daten ist übrigens nach kurzer Zeit faktisch unmöglich, weil nahezu alle Besucher dynamische IPs haben, die teilweise täglich wechseln. Es ist also schlechtestenfalls nach einem Tag gar nicht mehr feststellbar, wer welche IP hatte.

  2. Hallo Frau Schwindt,

    ich kämpfe mich gerade durch die Anpassung meines Blog und bin dabei auf Ihre sehr gute Checkliste gestoßen.
    Damit wurden schon viele meiner Fragen abgedeckt und es taten sich Lösungen auf für Probleme, die ich noch gar nicht gesehen hatte 🙂

    Viele Dank.

  3. Liebe Annette,
    danke für die wunderbare Zusammenstellung … so kann ich nun für 3 Websiten es alles entspannter angehen lassen.
    Liebe Grüsse vom Meer und von der Insel sendet Dir Dani 🙂

    • Diese Liste erhebt keinerlei Anspruch auf Vollstänsigkeit. Ich dokumentiere nur, was mir bei meinen Websites wichtig erscheint. Wer andere Tools oder Plugins nutzt, braucht ggf. andere Maßnahmen.

Schreibe einen Kommentar