DSGVO

Ab in gut zwei Wochen gilt europaweit eine neue Datenschutzregelung, die Datenschutz-Grundverordnung DSGVO. Die sorgt im deutschen Mittelstand für Unruhe, habe ich gehört, vielleicht sitzt man sie auch aus. Sie betrifft jedenfalls auch uns Blogger. Wenn wir uns nicht an die Regeln halten, dann… uh, kann es teure Strafen geben, oder, in Deutschland wahrscheinlicher, mehr oder weniger gerechtfertigte Abmahnwellen. Etliche Blogs haben schon angekündigt, die Kommentare zu schließen, oder sogar ganz aufzuhören. Wie sehr die Sorge begründet ist, weiß ich nicht; tatsächlich habe ich aus der Wirtschaft gehört: „Intellectual property law is not a shield, it’s a weapon“, und das gilt dann in Zukunft wohl auch für den Datenschutz. Aber gut gemeint ist das sicher mit der DSGVO, warten wir’s ab.

Der Kerngedanke: Personenbezogene Daten dürfen sowohl Facebook als auch ich kleines Bloggerlein nur speichern, soweit es nötig ist, und wenn derjenige, dessen Daten gespeichert werden, zustimmt. Wenn jemand anderes für mich Bloggerlein die Daten speichert oder anderswie verarbeitet, muss ich mit diesem einen Vertrag zur Auftragsverarbeitung eingehen.

Für jemanden, dessen Blog bei wordpress.com oder bei blogger.com gehostet wird, sind die Möglichkeiten, auf die Datenverarbeitung im Zusammenhang mit dem Blog Einfluss zu nehmen, gering; da hoffe ich sehr, dass diese Anbieter den deutschen Kunden geeignete Einstellungsmöglichkeiten zur Verfügung stellen. Dafür dürften diese Möglichkeiten dann auch einigermaßen sicher sein. Jemand wie ich mit selbst gehostetem Blog kann viel mehr eigene Vorkehrungen treffen, hat aber auch wenig juristische Beratung dabei. Also: Daumen drücken.

Grundsätzliches:

  • Man braucht ein ordentliches Impressum. Das geht zum Beispiel über diesen Generator, aber es gibt viele andere.
  • Man braucht eine ordentliche Datenschutzerklärung. Das geht zum Beispiel über diesen Generator, aber es gibt auch andere.
  • Beides muss gut erreichbar sein, also am besten in die Seitenleiste damit.
  • Blog umschalten von http auf https, damit diejenigen, die Kommentare übertragen, sicher sein können, dass niemand mitlauscht. Erfordert Änderungen bei den Zählpixel-Adressen von VG Wort – für mich nicht so wichtig, aber ich betreue ja auch andere Blogs.

Daten, von denen man gar nicht unbedingt mitkriegt, dass andere sie speichern:

  • Google Analytics, und ähnliche Besucherzahlen-Counter. Habe ich bei mir alles nicht.
  • Antispam-Schutz wie Akismet: Der leitet Kommentar-Daten (Text, IP-Adresse) weiter, um auf einem anderen Server zu überprüfen, ob es sich um Spam handelt. Lösung: Das Plugin Antispam Bee verwenden, und bei diesem die Weiterleitung auf einen anderen Server ausschalten. (Allerdings kollidiert das Plugin eventuell mit einem anderen Plugin, das erlaubt, Kommentare nachträglich zu editieren. War nicht hier ein Problem, aber auf einem anderen von mir betreuten Blog. Und auf dem war das WordPress-Theme so alt, dass der Code dort erst angepasst werden musste. Das gilt für aktuelle Blogs aber kaum.)
  • Eingebette Videos, zum Beispiel von Youtube: Wenn ein Youtube-Nutzer eingeloggt ist und auf meinem Blog einen eingebetten Video anschaut, kriegt Youtube die IP-Adresse mit, und die ist bereits ein personenbezogenes Datum. Gilt für andere Dienste analog. Lösung: Das Plugin EU Cookie Law hat eine Funktion „Auto Block“, die da vielleicht hilft. Oder das Plugin Embed videos and respect privacy.
  • Facebook-Buttons und so: habe ich alles nicht.
  • WordPress lädt automatisch Google Web Fonts, jedenfalls potentiell. Lösung: Entweder Blogbasteln, oder das Plugin Autoptimize, das vieles kann, was ich nicht brauche, aber eben auch per Klick diese Fonts ausschalten.
  • Das Plugin Jetpack: Benutze ich nur wegen der schönen Slideshow-Funktion. Dennoch kann Jetpack sehr viel mehr und telefoniert viel nach Hause; bis Ende Mai ist vom Hersteller DSGVO-Konformität versprochen worden, wenn das nicht reicht, werde ich es ganz abschalten.
  • Gravatare, diese lustigen Bildchen neben manchen Kommentatoren? Muss man wohl ausschalten.

Daten, die man mehr oder weniger absichtlich selber speichert:

  • Seitenstatistiken: Die meisten Hoster dürften Zugriffsstatistiken auf dem Server speichern, auf dem auch das Blog selber liegt. Mein Anbieter, all-inkl.com, bietet an a) einen Vertrag zur Auftragsverarbeitung an, den man herunterladen kann. Unterschreiben muss man nichts extra. Und b) kann ich einstellen, ob überhaupt Statistiken gespeichert werden sollen oder gar nicht, oder ob die IP-Adressen teilweise oder ganz anonymisiert werden.
  • Cookies: Muss man eh schon länger machen. Ich nutze dazu das oben schon erwähnte Plugin EU Cookie Law, das vor dem Setzen eines Cookies eine Bestätigung erwartet. Cookies setzt WordPress ziemlich automatisch, wie viele anderen Seiten. Vor allem mit Hilfe von Cookies merkt sich ein Browser, dass er schon einmal auf einer Seite war und dort ein Passwort eingegeben hat, und die Seite kann mit Cookies eben genau das auch überprüfen.
  • Kommentare: Wer kommentiert, gibt dazu Daten an, die gespeichert werden. Man muss jetzt vorher ankreuzen, dass man das weiß. Mit Verlaub: Äh, ja? Das geht automatisch mit dem Plugin WP GDPR Compliance. (Auch das erforderte bei sehr alten Themes etwas Bastelei.)
  • Das gleiche Plugin übernimmt eine ähnliche Funktion bei Kontaktformularen. Die setze ich zwar nicht ein, aber auf der Schulhomepage gibt es welche. Ich musste dazu das alte Formular-Plugin ersetzen durch das neue Contact Form 7, aber das alte mochte ich eh nicht mehr. Das alte Impressum der Schulhomepage war irgendwann mal vom zuständigen Landratsamt geschrieben worden, ich habe es um die Datenschutzeerklärung ergänzt; vielleicht meldet sich das Landratsamt ja auch mal deswegen bei den Schulen.
  • Benachrichtigung über weitere Kommentare zu einem Beitrag, meist wenn man schon selber einen getätigt hat: Gibt es verschiedene Plugins, unbedingt mit Double Opt-In.
  • Benachrichtigung über neue Blogeinträge per Mail: Läuft noch über Jetpack. Entweder das wird noch konform, oder ich muss es abschalten.

Reicht das alles? Theoretisch sicher nicht. Ich hoffe auf die Praxis und bin ansonsten weiter am Werkeln. Was ich nicht machen kann: alle meine Blogeinträge der letzten vierzehn Jahre auf mögliche Probleme durchgehen. Da mag schon das eine oder andere eingebette Bild von einer anderen Adresse dabei sein.

Ist die DSGVO den Aufwand wert? Weiß nicht. Der Gedanke, dass man wirklich über jedes Fitzelchen Daten nachdenkt, das man von anderen speichert, ist erst mal nicht schlecht. Inwiefern das bei den großen Datensammlern dann wirklich zu weniger Datenspeicherung führt, da bin ich skeptisch.

Nachtrag: Nu, manche sagen, all das braucht man nicht. Mag sein. Schadet aber auch nicht. Warten wir ab.

15 Thoughts to “DSGVO

  1. Zu GoogleFonts: beim Datenschutzerklärungsgenerator (schönes Wort :-) ) den ich verwendet habe, hat er GoogleFonts mit abgefragt, stehen jetzt halt mit in Erklärung drin. Sollte reichen.

  2. Danke für diese ausführlichen Anmerkungen. Ich muss mich dringend auch damit auseinandersetzen und das war sehr hilfreich.

  3. Zu GoogleFonts: Ja, stimmt @Gerhard. Und auch Google Analytics oder Piwik habe ich vielleicht falsch dargestellt – muss man alles wohl nicht abschalten, aber halt darauf hinweisen.

  4. Was für ein plugin nutzt du, das den sehr kleinen diskreten cookie popup produziert, sich das merkt und dann NIEEEEE wieder kommt? :-)

  5. Das ist das Plugin EU Cookie Law. Da kann ich sagen, wo ich das Popup haben möchte (oben unten links rechts und so), und vor allem, wie lange der Keks gelten soll: Voreingestellt ist session, das heißt: Bei jedem Besuch wieder von vorn. Aber man kann eben auch sagen, dass es zum Beispiel zwölf Monate gelten soll.

  6. „Für jemanden, dessen Blog bei wordpress.com oder bei blogger.com gehostet wird, sind die Möglichkeiten, auf die Datenverarbeitung im Zusammenhang mit dem Blog Einfluss zu nehmen, gering“
    Zumindest bei Blogger fallen für den Autor eines Blogs kaum personenbezogene Daten an, lediglich in Form von Kommentaren und da auch nur in der Art, die der Kommentator hinterlässt. Alle Zugriffstatistiken und ähnliches sind anonymisiert und lediglich eine Sache des Datenschutzes bei Google. Google ist zwar nicht EU hat sich aber im Sinne eines Angemessenheitsbeschlusses Privacy Shield unterworfen (https://policies.google.com/privacy?hl=de), was die EU als angemessen akzeptiert – rechtlich also soweit sicher.

  7. Das spricht für Blogger. Ich gebe zu, ich hatte noch nie ein Blogger.com-Blog, kenne mich da nicht aus – ich war nur bereit, das schlimmste anzunehmen, weil das Kommentieren auf Blogger-Blogs so abschreckend mühsam ist. (Oder hat sich das gebessert? Mit Google-Konto ging es einigermaßen, sonst fast nie.)

  8. Hallo Thomas, ich bin auch gerade dabei (auf den letzten Drücker), mein Weblog EU-Datenschutzkonform zu machen. Deine Übersicht hier ist seeeeehr hilfreich, vielen herzlichen Dank für die Arbeit, die Du Dir damit gemacht hast!

  9. Gern geschehen. Aber vielleicht stimmt’s auch gar nicht. Ich bin mir ja nicht mal bei der Impressumspflicht sicher, am Ende sind unsere Blogs ja rein privat, wenn auch öffentlich. Und manche meiner Änderungen sind vielleicht gar nicht nötig – aber ich als Laie kann das schwer beurteilen.

  10. Da ist das Jahr noch nicht mal halb rum – und schon gibt es einen heißen Kandidaten auf das Unwort des Jahres 2018, nämlich „Datenschutz-Grundverordnung“.

    Das ist aber wie überall in der Politik, speziell mit allem, was Europa betrifft: Es ist sicherlich gut gemeint (Schutz des Verbrauchers vor Missbrauch seiner Daten), das Ganze ist aber dermaßen schlecht kommuniziert worden, dass genau das Gegenteil von dem erreicht worden ist, was erreicht werden sollte.
    Welche Daten erheben denn nicht-kommerzielle Blogger? Aus welchem Grund? Was machen sie mit diesen Daten?

    Was diesen meinen Kommentar betrifft: Warum muss ich meine E-Mail-Adresse angeben, und warum muss ich mich mit der Speicherung und Verarbeitung meiner Daten durch deine Website einverstanden erklären? Was ist mit „Verarbeitung“ konkret gemeint?

  11. >Was diesen meinen Kommentar betrifft: Warum muss ich meine E-Mail-Adresse angeben, und warum muss ich mich mit der Speicherung und Verarbeitung meiner Daten durch deine Website einverstanden erklären?

    E-Mail-Adresse: Anhand der wird überprüft, ob ein Kommentator zum ersten Mal kommentiert. Dann landet der Kommentar nämlich automatisch in der Warteschlange – um Trolle zu vermeiden. Das ist ein guter Kompromiss zwischen der Warteschlangenmoderation aller Kommentare und völlig offener Kommentiermöglichkeit.

    >Welche Daten erheben denn nicht-kommerzielle Blogger? Aus welchem Grund? Was machen sie mit diesen Daten?

    So ziemlich alle Webseiten überhaupt dürften Anfragen mitprotokollieren. Das macht meist schon der Rechner, auf dem die Webseite läuft. Dabei geht es gar nicht um Zugriffszahlen, sondern ums Erkennen von Brute-Force-Angriffen, Hotlinking, überhaupt: wer verlinkt worauf. (Wenn ein chinesischer Server immer wieder meine Startseite aufruft, will ich schon wissen, warum.) Die Daten werden regelmäßig gelöscht. Namen werden dabei nicht gespeichert, sind ja gar nicht vorhanden, aber IP-Adressen.

    >Was ist mit „Verarbeitung“ konkret gemeint?

    Siehe DSGVO-Erklärung, unten verlinkt. Nicht viel außer dem bereits Geschriebenen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.