DSGVO und das private WordPress Blog

Einstieg und Fazit

Blogartikel mit abgedroschenen Floskeln zu beginnen ist mir eigentlich ein Graus. Doch Datenschutz geht uns wirklich alle an und ich kann seine heutige Bedeutung nicht deutlich genug betonen. Datenschutz bedeutet, dass ich mich und meine Daten vor fremdem Zugriff geschützt wissen möchte. Dabei ist es mir egal, ob der fremde Zugriff durch einen Konzern, einem Staat, einer Institution oder den Nachbarn erfolgt. Meine Daten gehören mir.

Wenn die EU nun also beschließt, den Status Quo in Sachen Datenschutz zu verbessern, eine Datenschutzgrundverordnung beschließt, die ab dem 25.Mai 2018 gilt, sollten wir doch alle jubeln und uns freuen, dass wir und unsere Daten geschützt werden. Wie mittlerweile durch alle Medien bekannt, war das Gegenteil der Fall. Kritiker und Datenschützer schlagen Alarm, Experten decken die Schwachstellen der DSGVO auf und im freien Netzt macht sich eine große Unsicherheit breit.

Diese Unsicherheit führt dazu, dass private und halbprivate Seiten im Netz dicht machen, weil die Betreiber den Aufwand zur Einhaltung der DSGVO nicht leisten können, sie die drakonischen Strafen fürchten oder die teils schwammigen Forderungen der DSGVO einfach nicht verstehen. Was letztlich zum Sterben des freien Netzes führen könnte. Facebook, Google und Co. reiben sich die Hände, nehmen sie die Netz-Flüchtlinge doch mit offenen Armen und dem Versprechen auf, vor der bösen DSGVO in ihrem Netzwerk sicher zu sein.

Die Unsicherheit lähmte auch mich, bis ich vor einigen Tagen begann, mein kleines Blog DSGVO-konform zu machen. Nicht, weil ich in den letzten Jahren und Monaten viel veröffentlicht hätte, sondern weil es mein Blog ist. Es ist MEIN Blog und mein Netz und ich will mich weder vertreiben, noch einschüchtern lassen. Der Aufwand, soviel kann ich bereits jetzt verraten, war nicht zu unterschätzen. Ein großer Teil davon wurde allein durch Recherche verbraucht, denn jeder Fall, jedes Blog, jeder kleine Anwendungsfall ist anders. Die Anleitungen und auch die Forderungen in der DSGVO sind teils recht allgemein gehalten, was die richtige Lösung nicht leicht finden ließ. Am Ende (der Vorabend des Stichtags) bin ich mit dem Ergebnis aber zufrieden und sehe wieder mit Zuversicht in die Zukunft.

So möchte ich diesen Artikel tatsächlich auch mit einem positiven Fazit beginnen und im weiteren darauf eingehen, wie ich zu diesem Fazit kam. Mein Blog ist technisch so datensicher, schlank und schnell wie nie zuvor. Im Zuge der DSGVO Anpassungen habe ich mich bewusst von vielen unnötigen Plugins verabschiedet, das Theme konfiguriert und nebenbei das komplette Blog auf eine sichere SSL-Verbindung (https:) umgestellt. Möglich war dies, weil ich seit meinem Begin im Jahre 2005 noch nie Geld mit dem Blog verdient habe, nie irgendwelche Affiliate Programme oder AdSense Werbungen eingebaut hatte. Statistiken interessierten mich nur aus rein privater Neugier und Sharing Funktionen baute ich nur ein, weil sie hip waren und „einfach dazu gehörten“. Die Anpassungen lagen daher „im Rahmen“.

Dies zum Positiven und direkt der Einschränkung, dass dies nur für mich und mein Blog gilt. Für andere Seiten sieht die Anforderung und der Weg zur Lösung vermutlich anders aus. Aber vielleicht kann ich im Folgenden ein paar Anregungen geben.

Grundsätzliches zur DSGVO

Die Grundsätze zur Verarbeitung personenbezogener Daten der DSGVO lesen sich zunächst recht einleuchtend in Artikel 5 und lauten etwa wie folgt:

• Daten dürfen nur rechtmäßig erhoben und verarbeitet werden
• Daten dürfen nur für den erhobenen Zweck genutzt werden
• Nur wirklich benötige Daten sollen erhoben werden
• Daten sollen nur so lange wie nötig gespeichert werden, dabei muss die Sicherung der Daten in jedem Fall gegeben sein
• Die Verarbeitung der erhobenen Daten muss dokumentiert werden
• Besucher müssen ihre Einwilligung zur Speicherung ihrer Daten geben
• Besucher müssen darüber informiert werden, was mit ihren Daten geschieht
• Besucher müssen ihre gesammelten Daten anfragen, berichtigen und löschen können

Erster Schritt: Die Technik

Zunächst war es mir wichtig, neben Datenschutzerklärungen, technisch auf der sicheren Seite zu sein. Folgende Seiten helfen dabei, die eigene Seite auf Schwachstellen und DSGVO-konformität zu prüfen:

• SSL Test der SSL Labs
• whynopadlock.com
• und ganz besonders: webbkoll.dataskydd.net

Am Ende sollte folgendes Ergebnis heraus kommen:

Zunächst ging es also darum, eine sichere https: Verbindung aufzubauen. Dazu gibt es einige gute Artikel, die einem Schritt für Schritt dabei helfen. Ein schönes Beispiel hat Elmastudio (die auch mein Theme erstellt haben). Wichtig ist, herauszufinden, ob der Hosting-Partner ein Zertifikat, wie beispielsweise das kostenlose Let’s Encrypt SSL Zertifikat bereit stellen kann. Mein Anbieter allinkl. macht den Umstieg denkbar leicht, bindet das Zertifikat automatisch ein und lässt die https: Verbindung per Knopfdruck umschalten.

webbkoll.dataskydd.net gibt auch wertvolle Tipps:

• wie HSTS konfiguriert werden muss
• wie Referrer zu reaktiveren sind
  • <meta name=“referrer“ content=“no-referrer“>
• und wie man Google Fonts los wird

Google Fonts ist ein toller Service, der mittlerweile in vielen aktuellen Themes eingesetzt wird und schöne, kostenlose Schriftarten bereit stellt. Das Problem dabei ist die Verbindung zu den Google-Servern, die datenschutztechnsich ein Problem darstellen können. Abhilfe schafft der google-webfonts-helper. Hier können die Google Fonts Schriftarten herunter geladen und selbst gehostet werden. Das Tool stellt sogar ein CSS-Schnipsel zur Verfügung, um die Schriftarten korrekt einzubinden. Nach getaner Arbeit war die Google-Fonts-API allerdings noch immer aktiv. Das Plugin https://de.wordpress.org/plugins/autoptimize/ schaffte schnell Abhilfe.

Die aktuelle WordPress Version 4.9.6 bietet darüber hinaus einige Verbesserungen, um etwaige Personenbezogene Daten bei Anfrage exportieren oder auch direkt löschen zu können.

Und siehe da: sichere Verbindung, keine Cookies, keine Referrer, keine Google Fonts. Ein einfaches und sicheres Blog.

Zweiter Schritt: Plugins

Alle Plugins nahm ich unter die Lupe. Welche benötigte ich wirklich noch? Welche waren aus  DSGVO-Sicht ohnehin kritisch, bzw. hätten dazu geführt, dass ich bei falscher Konfiguration, falscher Angabe oder zukünftigen Änderungen plötzlich juristisch angreifbar geworden wäre?

Zunächst wären da die Social Media Buttons. In Zeiten, in denen jeder Browser selbst einen Teilen-Button bereit stellt, wer benötigt diese Buttons wirklich noch? Wie schwer kann es sein, den Link des Artikel zu kopieren und in einen Tweet einzufügen? Jetpack, das Schweizer Taschenmesser unter den WordPress Plugin, versorgt den Blogbetreiber mit vielen hilfreichen Tools, wie z.B. Statistiken, Widgets, etc. und sammelt dabei Daten. Die Gimmicks und Statistiken waren für mich seit je her nur gern gesehene Benefits, auf die ich verzichten kann.

Auch hier sollte sich jeder selbst fragen, welche Plugins er in seinem Blog unbedingt benötigt und diese auf Datensicherheit hinterfragen. In jedem Fall zu empfehlen sind

• Autoptimize
• GDPR Tools
• Remove Comment IPs
• WP GDPR Compliance

um nur einige wenige Beispiele zu nennen, die ich derzeit nutze. In den verlinkten Artikeln weiter unten finden sich noch weitere nützliche Tipps. Wichtig war für mich hier nur: weniger ist mehr. Mein Blog soll sich wieder auf die Texte, Fotos und Datensicherheit konzentrieren und nicht auf fancy Gimmicks.

Dritter Schritt: Kommentare, Formulare, Avatare

Das Kontaktformular wurde rigoros gelöscht. In den 13 Jahren des Bestehens dieses Blogs wurde ich darüber vielleicht zehn mal kontaktiert. Will man mir etwas mitteilen, möge man bitte die Kommentare, meine Mail-Adresse im Impressum oder soziale Kanäle nutzen.

Die Kommentarfunktion sollte weiterhin verfügbar sein, wurde aber um zwei wichtige Punkte angepasst. Zum Einen fügt das Plugin WP GDPR Compliance eine Funktion hinzu, die jeden Kommentator zunächst um Freigabe des Kommentars und zur Kenntnisnahme etwaiger Speicherung bittet. Zum Zweiten werden die beim Kommentieren gespeicherten IP-Adressen automatisch nach 60 Tagen gelöscht. (Hintergrund: Sollten in meinem Blog beispielsweise rechtsradikale Kommentare geschrieben werden, wären diese nicht direkt komplett anonym, sondern könnten verfolgt werden. Da hier aber wenig passiert und wenig kommentiert wird, moderiere ich alle Kommentare ohnehin.)

Die Gravatar-Erweiterung bei den Kommentaren wurde deaktiviert. Ebenfalls ein unnötiges Gimmick.

Vierter Schritt: Die Datenschutzerklärung

Die Datenschutzerklärung ist natürlich ein absolutes Muss und sollte in jedem Fall zusätzlich zum Impressum auf einer eigenen, schnell zu erreichenden Seite angeboten werden. Im Netz gibt es mittlerweile einige Generatoren für DSGVO-konforme Datenschutzerklärungen. In diesen Formularen können für das eigene Blog relevante Punkte ausgewählt und so am Ende ein Text generiert werden, der, so die Hoffnung, rechtlich einigermaßen sicher ist. Ohne die Beauftragung eines Datenschutzbeauftragten kann ich das wohl kaum beurteilen, womit wir wieder beim Thema Unsicherheit sind (s.o.).

Die Rechtsanwaltskanzlei Dr.Schwenke hat einen recht guten Datenschutz-Generator auf ihrer Seite bereit gestellt, mit dem auch ich meine Datenschutzerklärung erstellt habe. Wichtig ist, dem generierten Text nicht blind zu vertrauen und zumindest mit etwas gesundem Menschenverstand alles zu lesen und zu prüfen. Wie bereits gesagt, ist jeder Fall, jede Seite, jedes Angebot anders. Ein allgemein gültiger Generator kann dies kaum komplett abdecken. Werden bestimmte Daten auf keinen Fall erhoben (z.B. Nutzerdaten durch Anmeldung), muss dies auch nicht in der Datenschutzerklärung angegeben werden.

Fünfter Schritt: Hosting

Mein Anbieter allinkl stellte mir bereits vor Wochen einen Auftragsdatenverarbeitungsvertrag zur Verfügung. Derzeit gehe ich davon aus, dass ich diesen nicht benötige, da mir kein Drittanbieter bekannt ist, der meine Daten oder die Daten meiner Besucher in irgendeiner Form weiter verarbeitet oder nutzt (wie z.B. um Statistiken zu führen). Ich werde das aber mit Sicherheit prüfen und einen entsprechenden Vertrag aufsetzen.

Im gleichen Atemzug habe ich das Logging auf meinem Web-Server komplett deaktiviert. Es wird also nichts mehr gespeichert, was hier passiert. Ich habe dadurch keine Statistiken und keine Nachverfolgungsmöglichkeiten (z.B. bei Attacken oder Fehlern), halte das aber derzeit für verschmerzbar.

Weitere Hilfe

Mit diesen Schritten fühle ich mich den Anforderungen der DSGVO deutlich besser gewappnet. Wie bereits erwähnt, war mein Blog schon immer eine rein private Geschichte ohne finanzielle Interessen, weshalb es in meinem persönlichen Fall vermutlich recht einfach war, alles DSGVO-konform anzupassen. Dies bedeutet auch, dass ich hier nicht jeden Fall beschreiben konnte. Daher einige sehr hilfreiche Seiten, die mir wertvolle Tipps gaben:

• https://www.webtimiser.de/so-bereitest-du-wordpress-auf-die-dsgvo-vor/
• https://www.arminhanisch.de/2018/03/dsgvo-umstellung/
• https://web.archive.org/web/20221126170218/https://www.jansens-pott.de/dsgvo-als-blogger-aktuell/
• http://www.spreeblick.com/blog/2018/04/10/was-bedeutet-die-dsgvo-fuer-blogs/
• https://blog.assbach.de/2018/03/dsgvo/

Noch was offen?

Ich begann den Artikel mit der Unsicherheit und beende ihn auch damit. Ja, es sind vermutlich noch Dinge offen. Oder auch nicht. Aber dann denke ich, sie seien offen. Und so spielt man mit meiner Unsicherheit und meiner Angst. Auch ich möchte beim Kampf für das freie Netz (Facebook ist nämlich kein freies Netz) nicht unter die Räder geraten und wegen einer Abmahnung meine Existenz aufs Spiel setzen.

Was muss ich also noch prüfen:

• Ist meine Datenschutzerklärung wirklich korrekt und ausreichend?
• Ist mein Impressum noch korrekt?
• Kann ich das Einbetten von Youtube-Videos datenschutzrechtlich besser machen?
• Werden wirklich keine Cookies erstellt, von dene ich vielleicht noch gar nichts weiß?
• Benötige ich wirklich einen AV-Vertrag oder nicht?
• Muss auch ich ein Verzeichnis der Verarbeitungstätigkeiten erstellen?

Ich hoffe, in den kommenden Tagen Antworten auch auf diese Fragen zu finden und werde den Artikel dann entsprechend erweitern. Wie immer freue ich mich auf hilfreiche Kommentare. Danke an dieser Stelle auch an die Hilfe, die ich per Twitter von diversen Seiten erhielt.

Ich mag mein Blog noch immer. Jetzt sogar etwas mehr. Ich mag auch Datenschutz. Ob ich die DSGVO irgendwann mögen werde, wage ich aber zu bezweifeln. Dennoch der dringende Appell an alle privaten Webseiten-Betreiber, Blogger, Forum-Admins, etc.: Haut nicht ab! Und wenn ihr abhaut, dann nicht zu Facebook oder Google, die Datenschutz bekanntermaßen mit Füssen treten und sich ins Fäustchen lachen, wenn ihr in deren Falle tappt.

Lasst uns gemeinsam für ein freies Netz kämpfen und eine Netz-Gemeinde bleiben!

Update vom 26.05.2018

Nach weiterer Recherche habe ich folgende Punkte angepasst:

• Da der Spam-Filter Akismet offenbar nicht mit der DSGVO kompatibel ist, wurde das Plugin entfernt durch AntSpam Bee ersetzt.
• Auf diversen Seiten war zu lesen, dass die Datenschutzerklärung auf noindex gesetzt werden soll, damit die Seite nicht mehr bei Suchmaschinen indiziert und durch WebCrawler leicht von Abmahnanwälten und ähnlichem Gesocks gefunden und maschinell geprüft werden kann. Dies erreicht man entweder durch passende Plugins oder durch Anpassung der robots.txt mit folgendem Eintrag:

  • User-agent: *
    
    Disallow: /Adresse-der-Datenschutzerklärung

• Emojis sind jetzt auch böse, da die Umwandlung zu Grafiken ebenfalls über einen Drittanbieter auf fremden Servern erfolgt. Dies habe ich daher in den Einstellungen abgeschaltet und zusätzlich mit dem Plugin Clearfy abgesichert. Test: :-) Überhaupt ein sehr tolles Plugin mit vielen nützlichen Möglichkeiten, WordPress noch schlanker zu gestalten und unnötige, eventuell sogar gefährliche Features zu deaktiveren.
• Mit meinem Hoster allinkl wurde ein AV Vertrag abgeschlossen. Das ging recht einfach in der Member Area.
• Das Impressum wurde überarbeitet und um diverse Angaben erweitert.
• Das Plugin WP GDPR kümmert sich jetzt um die zusätzliche Zustimmung beim Kommentieren eines Artikels.
• Da ich aus reiner Neugier und Interesse doch wissen möchte, wie viele Besucher auf mein Blog kommen, habe ich das Plugin WP Statistics installiert, das DSGVO-konform auf meinem Web-Server betrieben wird, keine Daten an fremde Server schickt und genau so gute Analysen liefert wie Jetpack oder Google Analytics. Wichtig ist auch hier, die IP-Adressen zu anonymisieren. Im gleichen Atemzug habe ich den seit langem brach liegenden Google Analytics Account deaktiviert.
• Noch eine schöne, verständliche Übersicht, was alles getan werden muss oder soll findet sich hier.

Fazit für heute: So langsam macht es sich. Aber ich fürchte, das Ende ist noch nicht erreicht.