Artikelformat

DSGVO

14 Kommentare

So langsam kommt Panik auf, weil ich mich mit dem Thema DSGVO noch nicht richtig auseinandergesetzt hab. Allerdings tickt die Uhr und es häufen sich die Bemerkungen in den unterschiedlichen Netzwerken.

Ich sammel mal hier.

Bitte berücksichtigt, dass ich zwar gern helfe und meine Erfahrungen teile, aber kein Rechtsanwalt bin. Das heißt, die unten aufgeführten Punkte haben keinen Anspruch auf Richtigkeit und Vollständigkeit. Ich möchte euch darauf aufmerksam machen, euch am besten schnellstmöglich mit den Themen selbst auseinander zu setzen und hoffe, dass meine „Vorarbeit“ und Linksammlung dabei hilft.

Erstmal ein paar Links, die mir unterkamen:

Der allseitsbeliebte Dienst eRecht24 bietet kostenpflichtige Abos zur Absicherung an, warum Abos? Ist das nicht hoffentlich eine einmalige Anpassung? Thomas Schwenke bietet für 99€ Unternehmen umfangreiche Tipps an.

Ganz klar scheint zu sein, dass man auf Google Analytics verzichten sollte. Ich war bisher der Meinung, ga(’set‘, ‚anonymizeIp‘, true); reicht. Alternativen sind wohl Matomo (früher Piwik) und für WordPress WP-Statistics.

Frage: Was ist mit den historischen Daten? Löschen? Egal? Bei Google Analytics zB liegen ja alle Daten der letzten Jahre noch, wenn auch ip-anonymisiert. Reicht es den Code aus der Website zu nehmen oder muss ich auch die Property bei Google Analytics löschen?

Reicht Cookie-Notice? Wenn man alle Cookies rauswirft, braucht man nicht mal das, und das ist zumindest grade mein Ziel.

Was ich jetzt erstmal tue

Ich schmeiß hier JetPack, Google Analytics und Mailpoet raus. Installiere WP-Statistics und schaue mir den Rest in Ruhe an. Luca gab noch den Hinweis auf Google Fonts, externe Bilder usw…

Update 16.3.2018

  • Cookiebot ausprobiert, meckert wegen OneSignal (Cookies), das ich dann vorerst auch rauswerfe
  • Von mir verwendete Google Fonts (Droid Sans/Serif) sind wohl nicht mehr Open Source. Also neue suchen… Sowieso stellt sich mir die Frage ob man die Fonts einfach auf den eigenen Server kopieren darf.
  • Der Gedanke von CDN geht völlig verloren, wenn ich häufig verwendete Scripts wie jQuery auf den eigenen Server ablege. > ggf. Performance-Einbußen
  • bitte auch weitere Infos unten in den Kommentaren beachten

Update 17.3.2018

  • Kettenreaktionen gehen los. Um Matomo als Alternative für Google Analytics zu nutzen muss PHP5.5.9 oder besser PHP7 installiert sein, bei einigen alten Kundendomains nicht der Fall. Stelle ich auf PHP7 um laufen alte Smarty und ADODB libraries nicht mehr, mit denen ich die Sites vor Jahren mal aufgebaut hab. Also alles neu nur wegen DSGVO? Glücklicherweise ließ sich das mit neueren Versionen von Smarty und ADODB relativ schnell klären. Was würde ich heute nutzen? Twig und Meedo?
  • Weitere Tipps hier gefunden https://datenschmutz.net/dsgvo-checkliste-fuer-blogs/
  • ZillaLikes aus dem Blog geschmissen wegen Cookies.
  • Fonts auf den Server geholt, ungenutzte rausgeworfen
  • Cookie Notice Plugin deaktiviert, weil keine Cookies mehr im Einsatz (hoffe ich)

Update 18.3.2018

  • Kommentare werden jetzt ohne IP-Nummer gespeichert und alle alten IP-Nummern bei Kommentaren wurden aus der Datenbank gelöscht. Siehe Anleitung.
  • Zum Deaktivieren von Cookies bei Kommentaren Lucas Anmerkung beachten (#)
  • Emoji-Support ausgeschaltet (Anleitung)
  • Wo wir schonmal dabei sind Header weiter entrümpelt.
  • Ginger-Cookie wie von Luca (siehe Kommentare) empfohlen ausprobiert. Schön, kann Opt-In, allerdings nur für WordPress erhältlich. Scheint auch nicht allumfänglich zu funktionieren. Youtube-Embeds werden erstmal ausgeblendet, Soundcloud aber nicht.
  • Es wurde empfohlen die Datenschutzseite aus dem Google-Index zu nehmen (um es Abmahn-Idioten nicht so leicht zu machen). Da WordPress aus mir unerfindlichen Gründen keine Metatags von Haus aus mitgibt, habe ich mich nach Alternativen zu YOAST und anderen SEO Plugins umgesehen, weil ich eigentlich nur für eine Seite ein „robots: noindex,follow“ einrichten will. Diese Seite hat geholfen, ich hab die Zeilen für die functions.php ein wenig angepasst.
  • Gravatar durch WP First Letter Avatar ersetzt, weil ganz ohne sah doof aus

Update 21.3.2018

  • Problem: WordPress Parent-Theme lädt Fonts vom Google Server. Würde gern im Childtheme dafür sorgen, dass das unterbunden wird, finde aber keinen Weg bisher. Muss mir das nochmal genauer ansehen.
  • Open Street Map als Alternative für Google Maps zu nehmen, kam nicht in Frage. Ist einfach zu hässlich. Also Maps bei einigen Seiten komplett rausgeworfen.
  • WP Plugin Limit Login Attempts speichert per default IP-Nummern, hab das mal ausgestellt.

Update 25.3.2018

Update 10.4.2018

  • zwischenzeitlich meine private Website assbach.de angepasst: Smarty raus, ADODB raus, Youtube embeds raus. Alle 10 Minuten wird die Seite neu gecached inkl. letztem Tweet, Blogbeitrag und Instagram-Bild. Outputs werden komprimiert, jetzt lädt alles sehr schnell. Auf der Datenschutz-Seite habe ich einen selbst formulierten Abschnitt oben ergänzt, der in leicht verständlichen Sätzen sagt, was jetzt NICHT mehr gespeichert wird. Das hat nicht alles was mit persönlichen Daten und DSGVO zu tun, aber wo ich schonmal dabei bin… Was noch fehlt ist bootstrap und jQuery durch einfachere Scripts zu ersetzen und der Seite mal ein neues Design zu verpassen. Später…
  • das vor allem für mich zur Übung. Ich hab noch so 10 Websites vor mir.
  • Bei Johnny gibts jetzt noch mehr Meinungen und Links. U.a. https://www.webtimiser.de/so-bereitest-du-wordpress-auf-die-dsgvo-vor/ und https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/

Update 18.4.2018

  • hab mich mit dem Thema embeds beschäftigt und nach einer Lösung gesucht erstmal ALLE embeds in allen Beiträgen zu deaktivieren. WordPress wandelt ja simple Adressen z.B. zu Youtube-Videos in abspielfähige Embeds um, die dann aber auch wieder viel Zeug von fremden Servern laden und, wenn man Youtube angemeldet ist grade, eben auch persönliche Daten. Verantwortlich ist wohl die Datei „/wp-includes/class-oembed.php“. Hab aber bisher nicht geschafft, diese zu
  • Knapp 850 Beiträge hier: davon 76 mit Youtube Links oder Embeds, 44x Spotify, 172x Treffer für „embed“, 36x vimeo, 13x Soundcloud, 8x tweets, 37x flash (!), 16x iframes, 10x vines….
  • Plugin: Disable Embeds und Lazy Load für Videos installiert, das Youtube und Vimeo dazu bringt erst auf Klick zu laden.
  • Achtung: Laut eRecht24 ist Soundcloud nicht ohne rechtliches Risiko einzubinden.

Soundcloud Warnung

To be continued…

14 Kommentare An der Unterhaltung teilnehmen

  1. Schwenke hat auch eine ganze Reihe kostenloser Artikel: https://drschwenke.de/dsgvo/

    Google Analytics kann man weiter einsetzen, muss aber sowohl das anomyize setzen als mit Google einen Auftragsdatenverarbeitungsvertrag abschließen. Ausdrucken, unterschreiben, an Google schicken und bekommt einen von Google unterschriebenen zurück.

    Ich führe meine Herangehensweise etwas aus:
    – Sich darüber klar werden, wo personenbezogene Daten (IP, Name, Mail, etc.) verarbeitet werden.
    – Das in einem Dokument zusammenschreiben.
    – Jeweils überlegen, ob diese Verarbeitung unbedingt notwendig ist. Also, ob es ein berechtigtes Interesse gibt. Das kann übrigens auch kommerzieller Natur sein. Ebenfalls ins Dokument schreiben.
    – Alles was nicht unbedingt nötig ist rauswerfen. Ich schaue bei meinem Blog so selten in die Statistik, dass ich die schon länger rausgeworfen habe. Gravatar ist nett, aber nicht wirklich nötig.
    – Jeder Aufruf einer externen Ressource teilt dem jeweiligen Anbieter personenbezogene Daten mit. Nämlich die IP-Adresse. Also Google Fonts, externe Javascripte, eingebundene Bilder und Tweets. Ich bin so weit gegangen, dass ein normaler Aufruf des Blogs vollkommen über den eignen Webspace abgewickelt werden kann.
    – Embeds habe ich noch nicht komplett entfernt.
    – Bei unbedingt nötigen externen Diensten schauen wie diese die DSGVO umsetzen. Gibt es bereits einen Auftragsdatenverarbeitungsvertrag, den man abschließen kann? Wie stellen sie sicher, dass die Daten sicher sind? Wieder alles ins Dokument.
    – Daten die am eigenen Webspace verarbeitet werden, müssen auch abgesichert sein. Wie werden die Daten gesichert? Ist das aktueller Stand der Technik. Auch ins Dokument.
    – Datenschutzerklärung anpassen. Sie muss in einfachere Sprache sein. Ich bin der Meinung, dass das bei den Generatoren oft nicht der Fall ist. In dir Datenschutzerklärung hinein, welche Daten zu welchem Zweck gespeichert und durch wen verarbeitet oder an wen weitergegeben werden.
    – Ebenfalls in die Datenschutzerklärung die Info, dass User_innen kostenlos Auskunft bekommen können, welche Daten über sie gespeichert sind, dass sie diese korrigieren oder löschen lassen können. Ich habe das ganz simpel mit einer Mailadresse gemacht.
    – Mailadressen von Kommentaren lösche ich nicht, weil ich sie als nötig finde, die Urheber_in zu identifizieren. Du möchtest einen Kommentar gelöscht haben? Schreib mir über die dazugehörige Adresse bzw. ich schreibe sie an, um sicherzustellen, dass du die Person bist, für die du dich ausgibst.
    – Cookies habe ich deaktiviert (setzt WordPress bei Kommentaren)
    – Über Opt-in könnte man weiterhin viel machen, halte ich am Blog für überflüssig. Vor allem weil man das Opt-in wieder dokumentieren muss.

    tl;dr: Rausfinden wo, welche Daten verarbeitet werden. Alles was keinen wichtigen Zweck erfüllt rauswerfen. Rest dokumentieren und User_innen informieren.

    Antworten

  2. Soweit ich kann helfe ich gerne. Natürlich mit dem Vorbehalt, dass ich kein Anwalt bin und somit vieles möglicherweise falsch verstehe.

    # Google Fonts
    Google empfiehlt sie nicht lokal zu hosten mit dem Performance-Argument: https://developers.google.com/fonts/faq
    Tatsächlich kommt es auf die jeweilige Lizenz an. Die meisten Fonts bei Google Fonts nutzen die SIL Open Font Licence (http://scripts.sil.org/cms/scripts/page.php?site_id=nrsi&id=OFL), die ähnlich aufgebaut ist wie Creative Commons Lizenzen.
    Man könnte sich etwa abschauen, wie Google selbst die Namensnennung erfüllt: https://fonts.google.com/attribution

    Droid Sans wurde damals unter der Apache Lizenz veröffentlicht und ist mit dieser noch erhältlich: https://www.fontsquirrel.com/fonts/droid-sans

    # CDN
    Ja, das geht damit definitiv verloren. In den meisten Fällen könnte man aber mit einer Optimierung der Bilder ein mehrfaches der JS-Dateien einsparen. Halte ich in den meisten Fällen für unproblematisch.

    # Cookie Notice
    Mir ist Ginger Cookie (https://de.wordpress.org/plugins/ginger/) empfohlen worden, weil es opt-in statt opt-out anbietet. Also Cookies wie etwa von Google Analytics werden erst geladen, wenn die Besucher_innen dies bestätigen. Dies wird wohl mit der ePrivacy-Richtlinie ab nächstem Jahr verpflichtend sein. Was mir aber unklar ist: Laut DSGVO muss ich das opt-in dokumentieren, um später beweisen zu können, dass die jeweilige Person der Datenverarbeitung zugestimmt hat. Das passiert hier ja nicht.

    # Wann ist externe Datenverarbeitung erlaubt?
    Aus dem Artikel der 15 Irrtümer zur DSGVO von Schwenke https://t3n.de/news/internetrecht-15-irrtumer-auftragsdatenverarbeitung-255133/3/
    Persönliche Daten dürfen extern verarbeitet werden, wenn einer der folgenden Punkte gegeben ist:
    – Die betroffene Person ihr Einverständnis zur Verarbeitung gegeben hat
    – Das Gesetz es erlaubt und die Person darüber informiert wurde http://www.gesetze-im-internet.de/bdsg_1990/__28.html und http://www.gesetze-im-internet.de/bdsg_1990/__33.html.
    – Es sich um Auftragsdatenverarbeitung handelt.

    Antworten

  3. Zum deaktivieren der WordPress Comment Cookies folgende Zeile in die functions.php oder ein Plugin, damit es nach einem Themenwechsel aktiv bleibt.

    remove_action( ’set_comment_cookies‘, ‚wp_set_comment_cookies‘ );

    Antworten

  4. Es gibt ein, leider sehr altes, Plugin, das Gravatar Bilder auf dem eigenen Server speichert. Es bleibt das Problem, dass Mailadressen von Kommentierenden an Gravatar geschickt werden, aber das könnte man beim Kommentar abfragen.

    Ich bin mir aber unsicher über die Nutzungsrechtimplikationen. Gehe aber davon aus, dass Gravatar ein lokales Zwischenspeichern erlaubt. Müsste man schauen.

    https://wordpress.org/plugins/simple-local-avatars/

    Antworten

  5. Bei Twenty Fifteen lassen sich im Child Theme die Fonts des Parent Theme wie folgt deaktivieren:

    function assbach_remove_scripts()
    {
    wp_deregister_style( ‚twentyfifteen-fonts‘ );
    }
    add_action( ‚wp_enqueue_scripts‘, ‚assbach_remove_scripts‘, 100 );

    Ansonsten guter Beitrag. Bin auch gerade an dem Thema. Vielleicht kann ich noch was beisteuern. Oder lernen. ;)

    Antworten

  6. Eine vernünftige Zusammenstellung ohne grosse Panikmache! Danke!

    1) Cookiebot: Da die Skripte für die Cookie-Zustimmung und die Datenschutzerklärung von Cookiebot ausgeliefert werden und damit eine externe Verbindung hergestellt wird, ist derzeit nicht klar, ob das Plugin gestzeskonform ist (jedenfalls müsste in der Datenschutzerklärung darauf hingewiesen werden, samt berechtigtem Interesse…). Zudem ist der Consent Log problematisch.

    2) WP Statistics: Ich bin mir da nicht sicher…

    https://wordpress.org/support/topic/will-wp-statistics-be-eu-gdpr-compliant-in-time-for-may-2018/

    Antworten

    • Danke Edi. Ich hab Cookiebot nicht als Plugin eingesetzt sondern über deren Website prüfen lassen. Den Artikel zu WP-Statistics schaue ich mir an, Danke.

      Antworten

Schreibe eine Antwort

Pflichtfelder sind mit * markiert.