BlaBla

I´m back – und das trotz DSGVO

So, da bin ich wieder. Diese Datenschutzgrundverordnungskacke kam aber auch so plötzlich. Wie Weihnachten. Nein, kam sie natürlich nicht. Aber meine Motivation, mich damit ernsthaft auseinanderzusetzen, hielt sich in doch stark überschaubaren Grenzen. Den Blog jetzt bis zum Sankt-Nimmerleins-Tag im Wartungsmodus zu lassen oder die Domain auf eine Landing Page umzuleiten ist aber auch nicht Sinn der Sache. Also habe ich mich mal ran gesetzt. Und es tat gar nicht weh.

Ein Gutes hat das Ganze. Wir haben uns nun mal mit dem Thema Datenschutz bzw. den Daten die wir, gewollt oder ungewollt, sammeln beschäftigt. Für meinen kleinen Blog hielt es sich glücklicherweise in Grenzen, besonders da ich weder Google Analytics verwende, noch Werbung schalte oder mit irgendwem kooperiere. Deshalb ging die meiste Zeit tatsächlich für Recherche drauf. Da ich in der luxuriösen Position bin, von diesem Blog in keinster Weise abhängig zu sein, konnte ich in aller Ruhe schauen was die anderen so machen und auf die Updates von WordPress & Co., die ja alle erst kurz vor Schluss kamen, warten. Wer sich diese Ruhe nicht erlauben konnte: ihr tut mir echt leid. Trotzdem bin ich auf das ein oder andere Thema gestoßen was datenschutzrechtlich zumindest mal bedenklich ist und habe deshalb einige Änderungen vorgenommen die ich für euch, aber auch für mich selbst, hier festhalten möchte.

1. Vertrag zur Auftragsdatenverarbeitung

Den genauen Sinn dahinter habe ich tatsächlich nicht zu 100% verstanden. Aber ich glaube es hat damit zu tun, dass der Webhoster (in meinem Fall ist das noch bis Ende des Jahres Strato), einige Daten wie Zugriffszahlen etc. sammelt. Außerdem speichere ich ja Daten von euch auf den Servern dieser Firma. Deshalb ist ein Vertrag zur Auftragsdatenverarbeitung notwendig. Den könnt ihr bei den meisten Hostern im Kundencenter mit wenigen Klicks abschließen. Runterladen, speichern. Fertig.

2. Der Blog selbst

Dann ging es an die eigentliche Arbeit: den Blog. Ich habe mir zuerst einmal für Firefox das Plugin Ghostery herunterladen und geschaut wer hier was trackt. Wichtig: nicht nur auf die Startseite, sondern auch mal in den ein oder anderen Beitrag schauen. Dabei kam raus: das Plugin Jetpack sammelt etwas für die Statistiken und Gravatar schickt irgendwas nach Hause. Außerdem habe ich über das Entwicklertool bei Firefox festgestellt, dass Icons über FontAwesome und Schriften von Google Fonts eingebunden sind. Also eigentlich ganz überschaubar. Zum Glück habe ich kein Kontaktformular und auch keinen Online Shop, die einzige Möglichkeit hier Daten einzugeben ist die Kommentarfunktion, bei der Name, E-Mail Adresse und die IP gespeichert werden.

Nun muss man sich überlegen wie man mit dem ganzen Kram umgeht. Ich habe sehr viel Zeit damit verbracht zu schauen was die anderen Blogger machen. Ist eben alles Auslegungssache. Die einen schotten sich komplett ab und die anderen schreiben einfach den ganzen Rotz in ihre Datenschutzerklärung und begründen es mit ihrem berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO). Welches der richtige Weg ist, wird sich nach und nach zeigen, wenn das ein oder andere mal vor Gericht durchgespielt wurde. Bis dahin bleibt „uns Kleinen“ nichts anderes übrig als nach bestem Wissen und Gewissen zu arbeiten.

Ein paar Dinge habe ich tatsächlich so gelassen wie sie sind, bei anderen bin ich auf die „sichere Seite“ gegangen, auch wenn ich persönlich denke dass es etwas übertrieben ist. Fangen wir mal an. Ach ja, fügt hier bitte gedanklich den üblichen „Ich bin kein Rechtsexperte blablablabla“-Spruch ein. Sollte ja logisch sein, ich erwähne es trotzdem mal besser.

Gravatar

Okay, auch ohne DSGVO ist es sicher bedenklich die E-Mail-Adresse von jedem, der hier einen Kommentar schreiben möchte, erstmal an irgendwelche Server in die USA zu schicken. Da es auch keine Opt-In Möglichkeit für diesen Dienst gibt, habe ich ihn erstmal deaktiviert. Das geht im Backend unter Einstellungen -> Diskussionen -> und dort den Haken bei „Avatare anzeigen“ entfernen. Schade, ich mochte die kleinen Bildchen. Vielleicht findet sich ja in Zukunft hierfür eine Lösung.

E-Mail & IP-Adresse bei den Kommentaren

Bleiben wir bei den Kommentaren. Name und E-Mail-Adresse stellen meiner Meinung nach kein Problem da. Wer die Daten in ein Kommentarfeld eingibt, tut das wahrscheinlich mit dem Wunsch dass diese Daten auf eine gewisse Art und Weise verarbeitet werden, in diesem Fall eben um einen Kommentar zu hinterlassen. Das sehe ich mal als Zustimmung. Problematischer wird es bei der Speicherung der IP-Adresse. Die ist nicht unbedingt notwendig um einen Kommentar zu hinterlassen. Dennoch habe ich mich dazu entschlossen sie weiterhin zu speichern und begründe das mit dem oben bereits erwähnten „berechtigtem Interesse“. Denn, (sehr sehr sehr) theoretisch könnten Dinge in die Kommentare geschrieben werden, die mit dem deutschen Recht in Konflikt stehen. Um mich vor rechtlichen Konsequenzen zu schützen fühle ich mich mit der Speicherung der IP wohler. Einmal pro Woche wird die Tabelle mit der IP-Adresse manuell von mir gelöscht.

Das Ganze steht auch nochmal in der Datenschutzerklärung, der nochmal vor dem Kommentieren per Checkbox zustimmt werden muss.

Alternativ könnte man auch die Speicherung der IP per Script oder Plugin ausknipsen und die Kommentare moderieren. Damit wäre man auf jeden Fall auf der sicheren Seite. Vielleicht mache ich es in Zukunft auch so. Mal schauen.

Emojis, Schriftarten und FontAwesome

Standardmäßig ersetzt WordPress die Emojis (bspw. den hier 🙂 ) durch Bildchen. Diese werden von einem externen Server geladen. Eventuell werden hier auch Daten verarbeitet, also habe ich die Funktion mit dem Plugin Disable Emojis deaktiviert.

Das Theme verwendet Google Fonts, welche von Google Servern abgerufen werden. Diese habe ich mithilfe dieser Anleitung lokal eingebunden. Gleiches gilt für die Icons von FontAwesome.

Das waren übrigens jetzt Punkte die ich als übertrieben ansehe. Es war jedoch ein Aufwand von wenigen Minuten das alles umzustellen, und so bin ich a.) auf der sicheren Seite und b.) habe ich damit die Performance der Seite noch um ein paar Millisekunden verbessert.

Jetpack

Das Plugin war ja schon immer etwas heikel was den Datenschutz betrifft. Wirklich genutzt habe ich hier eigentlich auch nur die Statistiken und paar Kleinigkeiten an die ich mich jetzt schon nicht mehr erinnern kann. Lange Rede kurzer Sinn: ich habe es deinstalliert.

Alternative zu WP Stats: Matomo

Prinzipiell brauche ich keine genauen Statistiken, finde es aber spannend zu sehen wie „viele“ Menschen hier mitlesen und wo sie herkommen. Deshalb habe ich mir als Alternative zu den Jetpack Statistiken mal Matomo (ehemals Piwik) auf den eigenen Webspace installiert. Das bietet Statistiken, lässt sich ins Backend vom WordPress kleben und ist schnell eingerichtet. Und das wichtigste: es ist DSGVO-konform. Die IP-Adresse wird nämlich anonymisiert. Es gibt auch eine Opt-Out Möglichkeit in der Datenschutzerklärung. Damit müsste ich auch hier auf der sicheren Seite sein.

Und sonst so?

Das war es auch schon. Checkt unbedingt mal eure Plugins, ob die auch alle DSGVO komplatibel sind. Bei Blogmojo gibt es dazu eine sehr gute Liste. Anschließend muss der ganze Kram in eine Datenschutzerklärung geschrieben werden. Hierfür sollte man nicht blind den nächstbesten Generator bemühen sondern sich auch anschauen was am Ende dabei rum kommt. Ich bin mit dem von RA Dr. Schwenke ganz gut klar gekommen. Kurz hatte ich überlegt selber etwas zu schreiben, habe mich dann aber doch dagegen entschieden. Zum einen wird sich ein auf Datenschutz spezialisierter Rechtsanwalt besser ausdrücken können als ich, zum anderen ist es vielleicht gar nicht schlecht wenn möglichst viele das gleiche schreiben. So fallen Lücken schneller auf. Denke ich. Hoffe ich. Mal sehen.

Und jetzt? Abwarten und weiter machen würde ich sagen. 🙂

Irgendwas mit Zügen, Technikkram und einer Affinität zu Produkten mit einem angebissenem Obststück.

Mehr Informationen? Hier entlang.

Autor

Irgendwas mit Zügen, Technikkram und einer Affinität zu Produkten mit einem angebissenem Obststück. Mehr Informationen? Hier entlang.

2 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.