Ein dunkler Hintergrund mit einem Netz aus Linien und Punkten.

DSGVO und das private WordPress Blog

Einstieg und Fazit

Blogartikel mit abgedroschenen Floskeln zu beginnen ist mir eigentlich ein Graus. Doch Datenschutz geht uns wirklich alle an und ich kann seine heutige Bedeutung nicht deutlich genug betonen. Datenschutz bedeutet, dass ich mich und meine Daten vor fremdem Zugriff geschützt wissen möchte. Dabei ist es mir egal, ob der fremde Zugriff durch einen Konzern, einem Staat, einer Institution oder den Nachbarn erfolgt. Meine Daten gehören mir.

Wenn die EU nun also beschließt, den Status Quo in Sachen Datenschutz zu verbessern, eine Datenschutzgrundverordnung beschließt, die ab dem 25.Mai 2018 gilt, sollten wir doch alle jubeln und uns freuen, dass wir und unsere Daten geschützt werden. Wie mittlerweile durch alle Medien bekannt, war das Gegenteil der Fall. Kritiker und Datenschützer schlagen Alarm, Experten decken die Schwachstellen der DSGVO auf und im freien Netzt macht sich eine große Unsicherheit breit.

Diese Unsicherheit führt dazu, dass private und halbprivate Seiten im Netz dicht machen, weil die Betreiber den Aufwand zur Einhaltung der DSGVO nicht leisten können, sie die drakonischen Strafen fürchten oder die teils schwammigen Forderungen der DSGVO einfach nicht verstehen. Was letztlich zum Sterben des freien Netzes führen könnte. Facebook, Google und Co. reiben sich die Hände, nehmen sie die Netz-Flüchtlinge doch mit offenen Armen und dem Versprechen auf, vor der bösen DSGVO in ihrem Netzwerk sicher zu sein.

Die Unsicherheit lähmte auch mich, bis ich vor einigen Tagen begann, mein kleines Blog DSGVO-konform zu machen. Nicht, weil ich in den letzten Jahren und Monaten viel veröffentlicht hätte, sondern weil es mein Blog ist. Es ist MEIN Blog und mein Netz und ich will mich weder vertreiben, noch einschüchtern lassen. Der Aufwand, soviel kann ich bereits jetzt verraten, war nicht zu unterschätzen. Ein großer Teil davon wurde allein durch Recherche verbraucht, denn jeder Fall, jedes Blog, jeder kleine Anwendungsfall ist anders. Die Anleitungen und auch die Forderungen in der DSGVO sind teils recht allgemein gehalten, was die richtige Lösung nicht leicht finden ließ. Am Ende (der Vorabend des Stichtags) bin ich mit dem Ergebnis aber zufrieden und sehe wieder mit Zuversicht in die Zukunft.

So möchte ich diesen Artikel tatsächlich auch mit einem positiven Fazit beginnen und im weiteren darauf eingehen, wie ich zu diesem Fazit kam. Mein Blog ist technisch so datensicher, schlank und schnell wie nie zuvor. Im Zuge der DSGVO Anpassungen habe ich mich bewusst von vielen unnötigen Plugins verabschiedet, das Theme konfiguriert und nebenbei das komplette Blog auf eine sichere SSL-Verbindung (https:) umgestellt. Möglich war dies, weil ich seit meinem Begin im Jahre 2005 noch nie Geld mit dem Blog verdient habe, nie irgendwelche Affiliate Programme oder AdSense Werbungen eingebaut hatte. Statistiken interessierten mich nur aus rein privater Neugier und Sharing Funktionen baute ich nur ein, weil sie hip waren und „einfach dazu gehörten“. Die Anpassungen lagen daher „im Rahmen“.

Dies zum Positiven und direkt der Einschränkung, dass dies nur für mich und mein Blog gilt. Für andere Seiten sieht die Anforderung und der Weg zur Lösung vermutlich anders aus. Aber vielleicht kann ich im Folgenden ein paar Anregungen geben.

Grundsätzliches zur DSGVO

Die Grundsätze zur Verarbeitung personenbezogener Daten der DSGVO lesen sich zunächst recht einleuchtend in Artikel 5 und lauten etwa wie folgt:

  • Daten dürfen nur rechtmäßig erhoben und verarbeitet werden
  • Daten dürfen nur für den erhobenen Zweck genutzt werden
  • Nur wirklich benötige Daten sollen erhoben werden
  • Daten sollen nur so lange wie nötig gespeichert werden, dabei muss die Sicherung der Daten in jedem Fall gegeben sein
  • Die Verarbeitung der erhobenen Daten muss dokumentiert werden
  • Besucher müssen ihre Einwilligung zur Speicherung ihrer Daten geben
  • Besucher müssen darüber informiert werden, was mit ihren Daten geschieht
  • Besucher müssen ihre gesammelten Daten anfragen, berichtigen und löschen können

Erster Schritt: Die Technik

Zunächst war es mir wichtig, neben Datenschutzerklärungen, technisch auf der sicheren Seite zu sein. Folgende Seiten helfen dabei, die eigene Seite auf Schwachstellen und DSGVO-konformität zu prüfen:

Am Ende sollte folgendes Ergebnis heraus kommen:

Bildschirmfoto 2018 05 24 um 19.07.15

Zunächst ging es also darum, eine sichere https: Verbindung aufzubauen. Dazu gibt es einige gute Artikel, die einem Schritt für Schritt dabei helfen. Ein schönes Beispiel hat Elmastudio (die auch mein Theme erstellt haben). Wichtig ist, herauszufinden, ob der Hosting-Partner ein Zertifikat, wie beispielsweise das kostenlose Let’s Encrypt SSL Zertifikat bereit stellen kann. Mein Anbieter allinkl. macht den Umstieg denkbar leicht, bindet das Zertifikat automatisch ein und lässt die https: Verbindung per Knopfdruck umschalten.

webbkoll.dataskydd.net gibt auch wertvolle Tipps:

  • wie HSTS konfiguriert werden muss
  • wie Referrer zu reaktiveren sind
    • <meta name=“referrer“ content=“no-referrer“>
  • und wie man Google Fonts los wird

Google Fonts ist ein toller Service, der mittlerweile in vielen aktuellen Themes eingesetzt wird und schöne, kostenlose Schriftarten bereit stellt. Das Problem dabei ist die Verbindung zu den Google-Servern, die datenschutztechnsich ein Problem darstellen können. Abhilfe schafft der google-webfonts-helper. Hier können die Google Fonts Schriftarten herunter geladen und selbst gehostet werden. Das Tool stellt sogar ein CSS-Schnipsel zur Verfügung, um die Schriftarten korrekt einzubinden. Nach getaner Arbeit war die Google-Fonts-API allerdings noch immer aktiv. Das Plugin https://de.wordpress.org/plugins/autoptimize/ schaffte schnell Abhilfe.

Die aktuelle WordPress Version 4.9.6 bietet darüber hinaus einige Verbesserungen, um etwaige Personenbezogene Daten bei Anfrage exportieren oder auch direkt löschen zu können.

Und siehe da: sichere Verbindung, keine Cookies, keine Referrer, keine Google Fonts. Ein einfaches und sicheres Blog.

Zweiter Schritt: Plugins

Alle Plugins nahm ich unter die Lupe. Welche benötigte ich wirklich noch? Welche waren aus  DSGVO-Sicht ohnehin kritisch, bzw. hätten dazu geführt, dass ich bei falscher Konfiguration, falscher Angabe oder zukünftigen Änderungen plötzlich juristisch angreifbar geworden wäre?

Zunächst wären da die Social Media Buttons. In Zeiten, in denen jeder Browser selbst einen Teilen-Button bereit stellt, wer benötigt diese Buttons wirklich noch? Wie schwer kann es sein, den Link des Artikel zu kopieren und in einen Tweet einzufügen? Jetpack, das Schweizer Taschenmesser unter den WordPress Plugin, versorgt den Blogbetreiber mit vielen hilfreichen Tools, wie z.B. Statistiken, Widgets, etc. und sammelt dabei Daten. Die Gimmicks und Statistiken waren für mich seit je her nur gern gesehene Benefits, auf die ich verzichten kann.

Auch hier sollte sich jeder selbst fragen, welche Plugins er in seinem Blog unbedingt benötigt und diese auf Datensicherheit hinterfragen. In jedem Fall zu empfehlen sind

  • Autoptimize
  • GDPR Tools
  • Remove Comment IPs
  • WP GDPR Compliance

um nur einige wenige Beispiele zu nennen, die ich derzeit nutze. In den verlinkten Artikeln weiter unten finden sich noch weitere nützliche Tipps. Wichtig war für mich hier nur: weniger ist mehr. Mein Blog soll sich wieder auf die Texte, Fotos und Datensicherheit konzentrieren und nicht auf fancy Gimmicks.

Dritter Schritt: Kommentare, Formulare, Avatare

Das Kontaktformular wurde rigoros gelöscht. In den 13 Jahren des Bestehens dieses Blogs wurde ich darüber vielleicht zehn mal kontaktiert. Will man mir etwas mitteilen, möge man bitte die Kommentare, meine Mail-Adresse im Impressum oder soziale Kanäle nutzen.

Die Kommentarfunktion sollte weiterhin verfügbar sein, wurde aber um zwei wichtige Punkte angepasst. Zum Einen fügt das Plugin WP GDPR Compliance eine Funktion hinzu, die jeden Kommentator zunächst um Freigabe des Kommentars und zur Kenntnisnahme etwaiger Speicherung bittet. Zum Zweiten werden die beim Kommentieren gespeicherten IP-Adressen automatisch nach 60 Tagen gelöscht. (Hintergrund: Sollten in meinem Blog beispielsweise rechtsradikale Kommentare geschrieben werden, wären diese nicht direkt komplett anonym, sondern könnten verfolgt werden. Da hier aber wenig passiert und wenig kommentiert wird, moderiere ich alle Kommentare ohnehin.)

Die Gravatar-Erweiterung bei den Kommentaren wurde deaktiviert. Ebenfalls ein unnötiges Gimmick.

Vierter Schritt: Die Datenschutzerklärung

Die Datenschutzerklärung ist natürlich ein absolutes Muss und sollte in jedem Fall zusätzlich zum Impressum auf einer eigenen, schnell zu erreichenden Seite angeboten werden. Im Netz gibt es mittlerweile einige Generatoren für DSGVO-konforme Datenschutzerklärungen. In diesen Formularen können für das eigene Blog relevante Punkte ausgewählt und so am Ende ein Text generiert werden, der, so die Hoffnung, rechtlich einigermaßen sicher ist. Ohne die Beauftragung eines Datenschutzbeauftragten kann ich das wohl kaum beurteilen, womit wir wieder beim Thema Unsicherheit sind (s.o.).

Die Rechtsanwaltskanzlei Dr.Schwenke hat einen recht guten Datenschutz-Generator auf ihrer Seite bereit gestellt, mit dem auch ich meine Datenschutzerklärung erstellt habe. Wichtig ist, dem generierten Text nicht blind zu vertrauen und zumindest mit etwas gesundem Menschenverstand alles zu lesen und zu prüfen. Wie bereits gesagt, ist jeder Fall, jede Seite, jedes Angebot anders. Ein allgemein gültiger Generator kann dies kaum komplett abdecken. Werden bestimmte Daten auf keinen Fall erhoben (z.B. Nutzerdaten durch Anmeldung), muss dies auch nicht in der Datenschutzerklärung angegeben werden.

Fünfter Schritt: Hosting

Mein Anbieter allinkl stellte mir bereits vor Wochen einen Auftragsdatenverarbeitungsvertrag zur Verfügung. Derzeit gehe ich davon aus, dass ich diesen nicht benötige, da mir kein Drittanbieter bekannt ist, der meine Daten oder die Daten meiner Besucher in irgendeiner Form weiter verarbeitet oder nutzt (wie z.B. um Statistiken zu führen). Ich werde das aber mit Sicherheit prüfen und einen entsprechenden Vertrag aufsetzen.

Im gleichen Atemzug habe ich das Logging auf meinem Web-Server komplett deaktiviert. Es wird also nichts mehr gespeichert, was hier passiert. Ich habe dadurch keine Statistiken und keine Nachverfolgungsmöglichkeiten (z.B. bei Attacken oder Fehlern), halte das aber derzeit für verschmerzbar.

Weitere Hilfe

Mit diesen Schritten fühle ich mich den Anforderungen der DSGVO deutlich besser gewappnet. Wie bereits erwähnt, war mein Blog schon immer eine rein private Geschichte ohne finanzielle Interessen, weshalb es in meinem persönlichen Fall vermutlich recht einfach war, alles DSGVO-konform anzupassen. Dies bedeutet auch, dass ich hier nicht jeden Fall beschreiben konnte. Daher einige sehr hilfreiche Seiten, die mir wertvolle Tipps gaben:

Noch was offen?

Ich begann den Artikel mit der Unsicherheit und beende ihn auch damit. Ja, es sind vermutlich noch Dinge offen. Oder auch nicht. Aber dann denke ich, sie seien offen. Und so spielt man mit meiner Unsicherheit und meiner Angst. Auch ich möchte beim Kampf für das freie Netz (Facebook ist nämlich kein freies Netz) nicht unter die Räder geraten und wegen einer Abmahnung meine Existenz aufs Spiel setzen.

Was muss ich also noch prüfen:

  • Ist meine Datenschutzerklärung wirklich korrekt und ausreichend?
  • Ist mein Impressum noch korrekt?
  • Kann ich das Einbetten von Youtube-Videos datenschutzrechtlich besser machen?
  • Werden wirklich keine Cookies erstellt, von dene ich vielleicht noch gar nichts weiß?
  • Benötige ich wirklich einen AV-Vertrag oder nicht?
  • Muss auch ich ein Verzeichnis der Verarbeitungstätigkeiten erstellen?

Ich hoffe, in den kommenden Tagen Antworten auch auf diese Fragen zu finden und werde den Artikel dann entsprechend erweitern. Wie immer freue ich mich auf hilfreiche Kommentare. Danke an dieser Stelle auch an die Hilfe, die ich per Twitter von diversen Seiten erhielt.

Ich mag mein Blog noch immer. Jetzt sogar etwas mehr. Ich mag auch Datenschutz. Ob ich die DSGVO irgendwann mögen werde, wage ich aber zu bezweifeln. Dennoch der dringende Appell an alle privaten Webseiten-Betreiber, Blogger, Forum-Admins, etc.: Haut nicht ab! Und wenn ihr abhaut, dann nicht zu Facebook oder Google, die Datenschutz bekanntermaßen mit Füssen treten und sich ins Fäustchen lachen, wenn ihr in deren Falle tappt.

Lasst uns gemeinsam für ein freies Netz kämpfen und eine Netz-Gemeinde bleiben!

Update vom 26.05.2018

Nach weiterer Recherche habe ich folgende Punkte angepasst:

  • Da der Spam-Filter Akismet offenbar nicht mit der DSGVO kompatibel ist, wurde das Plugin entfernt durch AntSpam Bee ersetzt.
  • Auf diversen Seiten war zu lesen, dass die Datenschutzerklärung auf noindex gesetzt werden soll, damit die Seite nicht mehr bei Suchmaschinen indiziert und durch WebCrawler leicht von Abmahnanwälten und ähnlichem Gesocks gefunden und maschinell geprüft werden kann. Dies erreicht man entweder durch passende Plugins oder durch Anpassung der robots.txt mit folgendem Eintrag:
    • User-agent: *
      
      Disallow: /Adresse-der-Datenschutzerklärung
  • Emojis sind jetzt auch böse, da die Umwandlung zu Grafiken ebenfalls über einen Drittanbieter auf fremden Servern erfolgt. Dies habe ich daher in den Einstellungen abgeschaltet und zusätzlich mit dem Plugin Clearfy abgesichert. Test: :-) Überhaupt ein sehr tolles Plugin mit vielen nützlichen Möglichkeiten, WordPress noch schlanker zu gestalten und unnötige, eventuell sogar gefährliche Features zu deaktiveren.
  • Mit meinem Hoster allinkl wurde ein AV Vertrag abgeschlossen. Das ging recht einfach in der Member Area.
  • Das Impressum wurde überarbeitet und um diverse Angaben erweitert.
  • Das Plugin WP GDPR kümmert sich jetzt um die zusätzliche Zustimmung beim Kommentieren eines Artikels.
  • Da ich aus reiner Neugier und Interesse doch wissen möchte, wie viele Besucher auf mein Blog kommen, habe ich das Plugin WP Statistics installiert, das DSGVO-konform auf meinem Web-Server betrieben wird, keine Daten an fremde Server schickt und genau so gute Analysen liefert wie Jetpack oder Google Analytics. Wichtig ist auch hier, die IP-Adressen zu anonymisieren. Im gleichen Atemzug habe ich den seit langem brach liegenden Google Analytics Account deaktiviert.
  • Noch eine schöne, verständliche Übersicht, was alles getan werden muss oder soll findet sich hier.

Fazit für heute: So langsam macht es sich. Aber ich fürchte, das Ende ist noch nicht erreicht.

Kommentare

  1. Danke für die tolle Zusammenfassung. Leider setzen bei WordPress Plug-Ins eine kostenpflichtige Webseite voraus. Ein weitere Baustein zum Ende des freien Netzes.

  2. Hallo Roger,

    Bei Kommentaren die Daten, die in den Feldern stehen und außerdem die IP. Schließlich hast Du Dir ja viel Mühe gemacht diesen tollen Text drunter zu schreiben, was alles gespeichert wird :)

    Aber eben nicht nur da sondern schon, wenn ich Deine Seite besuche und zwar in Form von Serverlogs, die all-inkl protokolliert. Es sei denn, Du schaltest das komplett aus.

    Die Einstellungen für die Serverlogfiles findest Du im KAS unter Einstellungen > Logs & Statistiken. Im Ordner ‚usage‘ Deines Webspace stellt Dir all-inkl die Logfiles zur Verfügung. Für einfaches Auswerten braucht es also kein Plugin.

    Schönes Wochenende

  3. Hallo Oliver,

    danke für deine weiteren Tipps. Ich werde die Tage noch ein Update des Artikels über weitere Anpassungen veröffentlichen. Deine Aussage „sobald Du Daten erhebst“ ließ mich aufhorchen. Genau das ist vermutlich eines der großen Probleme im Verständnis der DSGVO. Wann erhebe ich denn Daten? Schon, wenn jemand meine Seite besucht? Oder wenn er einen Kommentar hinterlässt und mein Blog die IP-Adresse speichert?

  4. Hallo Sebastian,

    viele interessante und wichtige Fragen. Die meisten kann auch leichter ich dir nicht beantworten, da ich kein Rechtsanwalt bin und mir meine Informationen wie die meisten anderen selbst zusammen suchen muss. In der Hoffnung, das richtige zu finden.

  5. Hallo Roger,

    Sobald Du Daten erhebst musst Du auch ein Verzeichnis der Verarbeitungstätigkeiten erstellen, welches für Dein Blog aber relativ schnell bewerkstelligt werden kann.

    Ein Muster kannst Du Dir hier herunterladen: https://regina-stoiber.com/2018/04/22/vorschlaege-fuer-ein-verfahrensverzeichnis-dsgvo/

    Wenn Du Dein Blog bei all-inkl.com hast, dann kannst Du in der Members Area unter Stammdaten ein AV-Vertrag generieren.

    Hallo Sebastian,

    Solange Du auf Deiner kleinen Website oder Visitenkartenseite keine personenbezogene Daten entsprechend den Grundsätzen der DSGVO erhebst, speicherst, verarbeitest etc. in Form von Kommentaren oder Kontaktformularen sowie dem Anbieten sonstiger Leistungen dürfte eine einfache Datenschutzerklärung ausreichen, die Du relativ schnell mit einem Generator erstellen kannst. Kontrolliert wird das durch die Landesdatenschutzbehörde.

    Die Kosten der SSL-Zertifikate sind vom jeweiligen Anbieter und dem angebotenen Leistungspaket abhängig. Bei Hostern wie 1&1, Strato und all-inkl.com sind Zertifikate von Let’s Encrypt im Paket mit drin und lassen sich mit ein paar Klicks schnell installieren.

    Die anderen Fragen solltest Du eher mit einem Rechtsanwalt klären, denn die sind schon sehr speziell und fallbezogen.

  6. Sebastian

    Gut und ausführlich geschrieben aber ich wüsste gerne, was passieren kann (im schlimmsten Fall) wenn man sich nicht so sehr wie du um seine Seite kümmert, sei es weil man keine Ahnung hat oder weil man keine Zeit etc. hat.

    Ich rede nicht von großen unternehmen sondern von kleinen privaten Websites oder meinetwegen kleine „Visitenkartenseiten“ von selbstständigen Personen. Droht da schon eine saftige Geldstrafe oder wird man wenigstens erstmal verwarnt und muss dann nachbessern? Wer kontrolliert das überhaupt? Muss mich erst jemand der meine Seite nutzt verklagen weil er nicht ausreichend über den Datenschutz bei mir informiert wird oder wird es Abmahnwellen von Anwälten geben, welche einfach so auf gut Glück versuchen Geld zu scheffeln? Nicht jeder kann ein kostenloses Zertifikat bei seinem Anbieter einbinden und Free-SSL muss man meist auch nach 3 Monaten wieder neu generieren (sofern der Anbieter das nicht automatisiert anbietet oder man einen Root-Server hat, bei dem man das automatisch einstellen kann).

    Ein Zertifikat kostet schließlich auch ein paar Euro im Monat und wenn man mehrere Seiten hat wird das schnell teuer. Was ist, wenn man seine Zugangsdaten nicht mehr hat und nicht mehr auf seinen Server kann? Oder was wenn man gar nicht mehr weiß, dass man irgendwo noch einen Blog bei einem der Free-Hoster laufen und schon alles diesbezüglich vergessen hat? Was ist, wenn der Ehepartner, welcher eine Website hatte nun gestorben ist und der Partner gar nichts von der Seite weiß?

    Gibt es dafür im Gesetzestext entsprechende Stellen? Ich hatte nämlich weder Lust noch Zeit da jede einzelne Seite zu lesen! Danke für deine Antwort.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert