DSGVO für Wald- und Wiesenblogger (2)

Achtung: Dies ist weder eine Rechtsberatung noch eine technische Anleitung! Weder kann ich garantieren, dass die Maßnahmen rechtlich korrekt noch dass sie vollständig sind.

Vielleicht der für Blogger wichtigste Punkt der DSGVO ist der Umgang mit den persönlichen Daten der Besucher. Was es damit auf sich hat, erfahren Sie in einer schönen Infografik der Europäischen Kommission.

Kritisch wird es immer dann, wenn es um die persönlichen Daten der Leserinnen und Leser geht. Darunter fällt neben den üblichen Verdächtigen wie Name oder E-Mail auch die IP-Adresse des Nutzers. Für mich gilt damit eine Art hierarchische Maßnahmenliste zur Vermeidung von Ärger:

  1. Gar keine persönlichen Daten erheben
  2. Persönliche Daten erheben, aber vorher um Erlaubnis fragen und jederzeitigen Widerruf ermöglichen
  3. In der Datenschutzerklärung darauf hinweisen, wann, wo und wozu die Daten erhoben werden. Ansonsten s. (2)

Ich gebe zu, als datentechnischer Laie habe ich nicht schlecht gestaunt, als ich gewahr wurde, was so an Daten erhoben wird, von denen ich Naivling gar nichts gewusst hatte. Allerdings habe ich mich als Blogger auch nicht besonders darum gekümmert. Wenn Sie wissen wollen, wer auf Ihrer Seite als irgendwelche Daten trackt, dann schauen Sie im Quelltext nach. Ein anderes nützliches Helferlein ist die Browsererweiterung Ghostery. Für mich haben sich hierbei diese Problemfelder ergeben:

Tracking via Schriftarten

Wenn Sie in Ihrem WordPress-Theme wie ich Google Fonts eingebunden haben, dann gibt es etwas zu tun: Entweder Sie ersetzen die diese durch Systemschriften oder Sie lagern die Fonts auf Ihren Server(-platz) aus. Näheres beschreibt ein Artikel im Privacy Handbuch. Wissenswertes über Google Fonts auch bei:

Nutzerstatistiken

Da ich doch interessiert bin, wie viele Mitmenschen mein ToolBlog besuchen und wozu, habe ich Google Analytics und das Plug-in Jetpack von Automattic im Einsatz. Wenn ich die DSGVO richtig verstanden habe, verarbeiten diese Anbieter die Daten meiner Besucher weiter. Also muss ich mit diesen eine Vereinbarung zur Auftragsdatenverarbeitung treffen. Bei Google geht das, Automattic ist an dem Thema dran. Ich persönlich werde erst einmal meine Google Analytics Konten komplett löschen. Jetpack wird deaktiviert. Um nicht ganz ohne Statistik dazustehen werde ich wohl Statify installieren. Zitat: Es ist konform zu deutschem Datenschutzrecht, da es weder Cookies noch einen Drittanbieter nutzt. Eine Alternative zu Statify könnte WP Statistics sein.

Hier noch einige einschlägige Artikel:

Kommentare und IP-Adressen, das Kontaktformular

Blogs leben durch den Austausch mit den Lesern, der über die Kommentarfunktion erfolgt. Dummerweise wird hierbei von WordPress die IP-Adresse erfasst. Man kann dies durch das Plug-in Remove IP verhindern. Schon installiert!

Bereits gesammelte IP-Adressen müssen aus der Datenbank entfernt werden. Wie das geht, beschreibt Jens Bayer: IP Adressen von Nutzern nicht speichern.

Außerdem hole ich mir in Zukunft das Einverständnis der Leser ab, den Kommentar zu veröffentlichen (Hier wiehert der Amtsschimmel!). Das geht ganz einfach mit dem Plug-in WP GDPR Compliance.

Das Gesagte gilt auch für das beliebte Kontaktformular. Ich habe mich gefragt, warum ich überhaupt eines brauche und werde es von der Seite nehmen. Die E-Mail-Adresse reicht auch. Allerdings: Muss ich für die DSGVO auch schriftlich festhalten, dass über die Signatur des Schreibers die Adresse (persönliche Daten!) u.U. in der Kontaktliste von Outlook landet?. Muss ich dazu auch die Erlaubnis einholen? Fragen über Fragen…

Einbinden von Social Media Buttons und anderer Dateien

Zum Teilen auf den sozialen Netzwerken gibt es die Social Media Buttons (Twitter, Faceboók & Co). Ich habe sie bereits entfernt, denn sie wurden ohnehin nur selten genutzt. Wenn ich mal viel Zeit habe, dann installiere ich vielleicht das Plug-in Shariff Wrapper. Dann klappt es auch mit der Datensicherheit.

Einbinden von YouTube & Co.

Um YouTube datensicherheitstechnisch richtig einzubinden, gibt es einige Möglichkeiten, die hier beschrieben werden:

Ich werde das Plug-in Embed videos and respect privacy installieren. Das Plug-in baut erst eine Verbindung zu Youtube auf, wenn der Nutzer aktiv auf den Abspielen-Knopf klickt.

Ansonsten habe ich noch einige Videos von Vimeo, bestimmte Tweets und Infografiken mit Skripts eingebunden. Ich werde dies durch einfache Textlinks ersetzen. Nützt ja nichts.

Zwei kleine Helferlein: Anti-Spam-Bee und Pretty Links

Zur Abwehr von Spam habe ich Anti-Spam-Bee im Einsatz. Allerdings „sollten die Optionen „Öffentliche Spamdatenbank berücksichtigen“ sowie „Kommentare nur in einer bestimmten Sprache zulassen“ deaktiviert werden“, wie Finn Hillebrandt schreibt.

Außerdem verwende ich auch Pretty Links, die hässliche Bandwurm-Linkadressen verkürzt. Auch das ist laut Finn kein Problem, wenn man durch Ausschalten die Klick-Statistiken unterbindet.

Vielen Dank soweit, nach den Feiertagen geht es weiter.

bis dahin…

Frohe Ostern!

stux / Pixabay

 

4 Antworten

4 Gedanken zu „DSGVO für Wald- und Wiesenblogger (2)

  1. Matthias Büttner

    Danke, Stephan!
    Was für ein Irrsinn, der da gerade passiert! Vielen Dank für Deinen KITA und die vielen Infos.
    Am Ende müssen wir Blogger eine Checkliste haben und die abarbeiten, oder? Das wäre am Besten.

    Für alle Fälle: Du darfst diesen Kommentar veröffentlichen! 🙂

    1. Stephan

      Ja, vielleicht bastle ich noch so eine Checkliste zusammen. Andererseits kann man das aus den Artikeln auch selbst machen.
      BTW: Der Irrsinn beschränkt sich nicht nur auf das Weblog. Da steckt noch mehr dahinter.

  2. Marcus Raitner

    Lieber Stephan, danke für diese umfangreiche Zusammenstellung. Zwei Punkte erscheinen mir ein wenig übervorsichtig. Erstens, Google Analytics bietet schon lange eine Funktion um IP-Adressen zu anonymisieren. Wenn die aktiviert ist, wüsste ich nicht welche personenbezogenen Daten Google dann noch verarbeitet für die ich die Vereinbarung bräuchte. Uns zweitens, im Laden von Fonts kann ich auch keine Verarbeitung von personenbezogenen Daten erkennen (ok, es gibt die sehr theoretische Möglichkeit des Trackings über exotische Fonts, aber sonst?)

    1. Stephan List Beitragsautor

      Lieber Marcus,
      wahrscheinlich hast Du Recht. Allerdings leben wir in der Juristenrepublik Deutschland und ich kann vor meinem geistigen Auge schon die sonst erfolglosen Anwälte die Messer wetzen sehen. So eine Gelegenheit, mit nichts viel Geld zu verdienen, wird sich für die nicht mehr so schnell bieten.
      Ich werde auf jeden Fall Google Analytics deaktivieren, Vielleicht kann man ja Google Analytics irgendwann man wieder reaktivieren, wenn der erste Pulverdampf verzogen ist.
      Bei den Fonts folge ich nur den Empfehlungen, die mir im Netz und auch persönlich von kompetenter Seite gegeben wurde. Ich selbst habe zu wenig Ahnung, um Dir eine fundierte Antwort darauf geben zu können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.