DSGVO und so [Kommentar]

Das Thema DSGVO hat mich als Blogger recht unverhofft getroffen. Kaum hat man mit dem Blogen so richtig begonnen, schon schlägt man sich mit solchen Themen rum. Der Vorteil war allerdings, dass ich mich bei der Auswahl der Plugins von Anfang an mit dem Thema auseinandergesetzt habe.

Guides und Kommentare, die teilweise recht widersprüchlich sind bzw. das Gesetz alle anders auslegen, gibt es im Netz unterdessen genug. Genannt sei hier zum Beispiel folgender: 170+ WordPress-Plugins im DSGVO Check.

Daher liste ich im Folgenden auf was ich im Rahmen der Anpassung “fit für DSGVO” gemacht habe.

Nur der Vollständigkeit halber: Dieser Beitrag ist keine Rechtsberatung!

Antispam Bee

Alle Einstellungen in denen IPs verwendet werden (zum Beispiel öffentliche IP Datenbank) oder alle Funktionen bei denen privacy bzw. Datenschutzhinweise vorhanden sind habe ich deaktiviert. Im Kontext Antispam Bee wird Sicherheit gegen Datenschutz eingetauscht.

Akismet ist nach aktuellem Stand offenbar nicht zu empfehlen.

SSL

Habe ich schon seit Jahren auf meinen anderen Domains, somit war das für den Blog auch selbstverständlich. Vom Gesetz nicht gefordert, aber durchaus sinnvoll ist die Prüfung der Qualität der Absicherung. Keinem hilft eine auf veralteter Technik basierte Absicherung, die leicht angreifbar ist.

Hier kann ich folgenden Link zur Prüfung der eigenen Seite empfehlen. A oder A+ sollte das Ziel sein. Den Test sollte man regelmäßig ausführen, weil heute sichere Standards es morgen evtl. nicht mehr sind.

Für WordPress kann man zum Beispiel das Plugin Really Simple SSL nutzen.

Update 09.02.2020: Man bekommt SSL aber auch vollkommen ohne externe Plugins zum laufen. Mittlerweile verwende ich keinerlei Plugins mehr in dem Kontext

Jetpack

Auch im Kontext Jetpack tauscht man teilweise Sicherheit gegen Datenschutz.

Ich habe in Jetpack die Funktion zur Überwachung verdächtiger Anmeldeaktivitäten deaktiviert. Aktuell sieht es nicht so aus, als wenn Jetpack rechtzeitig das Update bereitstellt aber warten wir es ab.

Der aktuelle Status findet sich hier.

WP DSGVO

Das Addon WP DSGVO habe ich für die Kommentar folgen Funktion installiert, um dort eine explizite Zustimmung einzuholen (Double Opt In). Weiterhin bietet das Plugin die Möglichkeit die Löschung der persönlichen Daten anzufordern. Die Funktion kann man recht komfortabel in den Block einbinden.

Update 09.02.2020 siehe weiter unten. Ich habe WP DSGVO aus verschiedenen Gründen ersetzt. Das Addon logt extrem viel mit und ist aus meiner Sicht selbst aus DSGVO Sicht und aus Performanzsicht kritisch. Zusätzlich vertragen sich einige Funktionen nicht gut mit Caching Plugins.  Ersetzt habe ich WPDSGVO durch GDPR Data Request Form und WP Comment Policy Checkbox.

Remove IP

Die IP wird durch dieses Kleine Addon direkt beim Speichern von Kommentaren gelöscht

Redirection

Selbst in diesem Addon verbirgt sich eine IP Protokollierung, die ich nun deaktiviert habe.

Shariff Wrapper

Die Sharing Funktion von einem anderen Plugin habe ich durch Shariff ersetzt. Dann werden erst nach dem Klick auf den entsprechenden Button Daten an Facebook und andere weitergegeben.

Update 09.02.2020

Complianz

Das Plugin ermöglicht das Blocken von Cookies und externem Code, bevor der Anwender der Verwendung zustimmt.

Siehe auch hier.

Disable Emojis (GDPR friendly)

Das Addin vermeidet das Nachladen von Emojis von Drittanbieterseiten. Moderne Browser können diese in der Regel trotzdem darstellen.

GDPR Data Request Form

Anfrageformular um personenbezogene Daten anzufordern oder zu löschen.

Self-Hosted Google Fonts

Lädt ggf. benötigte Google Fonts auf den eigenen Server. Ein Nachladen bei Google ist nicht mehr erforderlich.

WP Comment Policy Checkbox

Bevor ein Kommentar abgegeben werden kann, muss der Datenschutzerklärung zugestimmt werden.

Datenschutzerklärung

Die Datenschutzerklärung muss auch aktualisiert werden. Ich habe den Generator von der Kanzlei Dr. Schwenke genutzt, da der bei Recht24 passenderweise aktuell nicht verfügbar ist und dort auf die Prämiumdienste verwiesen wird. Ansonsten habe ich mir beim Erstellen gedacht lieber ein paar Optionen zu viel aktivieren als zu wenig. Besser ich erwähne einen Dienst, der auf dem Blog (noch) nicht verwendet wird, als andersrum.

Generell sollte man wohl die DSGVO so gestalten, dass sie nicht von Robots durchsucht werden kann (robots.txt) oder WP Hide Post, damit nicht irgendwelche wütenden Abmahnanwälte automatisiert evtl. Fehler aufspüren können.

Gostery Plugin für Chrome

Damit könnt ihr sehen welche Tracking Aktivitäten auf eurem Blog so laufen. Bei mir sind das Gravatar und WordPress.com (Jetpack) – beides nicht überraschend.

Und sonst so

Das Plugin Email Subscribers & Newsletters benötigt auch einen Button, in dem der Benutzer bestätigt, dass er die Datenschutzbvereinbarung zur Kenntnis nimmt. Dafür wird dann gleich mal ein zweite Plugin benötigt was sich GDPR schimpft. Wenn man bei dem Plugin die Datenschutzvereinbarung verlinkt, dann verlangt es beim Login auf der Seite vom Benuzer direkt, dass die “Änderung der Datenschutzvereinbarung” bestätigt wird. Das hat zwar den Vorteil, dass man damit quasi alles folgende abgesegnet hat. Aber mir stellt sich schon die Frage wie die Benutzer identifiziert werden, die die Datenschutzvereinbarung abgesegnet haben. Bleibt die IP und Cookies, was doch eigentlich böse ist. 😉 Auf jeden Fall war mir so ein Überfall auf die Webseitenbesucher dann doch zu radikal.

Gravatar und das CDN (Content delivery network – verteilte Auslieferung von Bildern zwecks Entlastung des eigenen Servers) von Jetpack habe ich bisher nicht deaktiviert. Lt. den Angaben von Jetpack werden keine IPs mitgelogt bzw. die Daten werden anonymisiert übertragen. Auf Gravatar wird in der Datenschutzvereinbarung explizit eingegangen und auch auf Like Buttons.

Cookies werden auf dem Blog nur erhoben, um den Loginprozess zu beschleunigen, wenn man es denn möchte. Es gibt keine Statistikauswertungen oder ähnliches für die Cookies als Basis genutzt werden. Allerdings speichern die Plugins wie z.B. von Lovelybooks (die wollen die Cookies in kürze ausbauen) und Blogslovin leider Cookies.

Update 09.02.2020 – Siehe separater Blogbeitrag zum Thema Cookies.

In Chrome könnt ihr unter Weitere Tools\Entwicklertools\Application sehen welche Cookies von der jeweiligen Seite gespeichert werden.

Emojis habe ich über Autoptimize verbannt, aber die funktionieren trotzdem noch, sehen aber seitdem anders aus. Offenbar kommen sie aber nun nicht mehr aus kritischer, weil datensammelnder Stelle. Weiterhin habe ich in dem Plugin die Google Fonts deaktiviert.

Update 09.02.2020Autoptimize verwende ich nicht mehr. Stattdessen benutze Ich WP Speed of Light, das aber auch eine Funktion zum Deaktivieren von Emojis hat.

Ich werde jetzt mal entspannt auf den 25.05 warten und ggf. noch Plugins aktualisieren, wenn vorher noch was kommt.

Und Ihr?

Habt ihr auch einen Blog und was habt ihr so alles angestellt oder hofft ihr einfach, dass schon nichts passieren wird oder wart ihr viel radikaler als ich und habt noch mehr Komfortfunktionen entfernt? Findet ihr auch das die DSGVO vom Grundansatz zwar gut für den Datenschutz ist aber gerade für Blogger weit über das Ziel hinausschießt?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Dieses Formular speichert Name, E-Mail und Inhalt, damit ich den Überblick über auf dieser Webseite veröffentlichte Kommentare behalte. Für detaillierte Informationen, wo, wie und warum  deine Daten gespeichert werden, wirf bitte einen Blick in die Datenschutzerklärung. Mit dem der dem folgenden Button nimmst du diese zur Kenntnis und akzeptierst den Inhalt.