Seit einiger Zeit geistert ein Schreckgespenst unter den Bloggern und anderen Webmastern umher und das heißt DSGVO bzw. GDPR. Ich hab mich ein ganzes Weilchen taub und blind gestellt, mich dann eingehend damit befasst und erschreckt festgestellt: Die DSGVO tritt zwar zum 25. Mai verpflichtend in Kraft, doch diese Gesetze gibt es schon lange, sie wurden 2016 auf EU-Ebene gebracht und ich weiß nicht, wie mir das alles entgehen konnte. Fakt ist, dass Webseiten, die diese Bestimmungen nicht einhalten, schlichtweg illegal sind! Auch jetzt schon!
Eigentlich dachte ich, ich könne abwarten, dass die Softwareentwickler von WordPress, den PlugIns und Themes tätig werden würden, da der europäische Markt sicherlich auch für sie interessant sein dürfte. Doch auch weniger als 2 Monate vor dem endgültigen Inkrafttreten ist da nicht viel passiert. Einige kündigen an, dass die Norm bis zum 25. Mai erfüllt sein wird, doch darauf verlassen kann und will ich mich nicht.
Was ist die DSGVO bzw. GDPR?
Die DSGVO ist – kurz zusammengefasst – eine Datenschutz-Grundverordnung (oder Englisch GDPR für General Data Protection Regulation), die schon 2016 von der EU beschlossen wurde und zum 25. Mai 2018 verpflichtend gilt. Diese Verordnung legt fest, wie Daten von einer Webseite gespeichert und verwendet werden dürfen. Ziel ist, dass die Privatsphäre des Benutzers geschützt und eine größere Kontrolle über die Speicherung und Verwendung seiner Daten hergestellt wird.
Für mich als privater Surfer im Internet finde ich das super, für mich als Webseitenbetreiber aber ist das ein riesiges Stück Arbeit.
Meine Arbeit habe ich mir zunächst in einer Checkliste zusammengestellt und alles das, was ich hier verändert habe dokumentiert.
Was bedeutet die DSGVO für meinen Blog?
Als Webseitenbetreiber speichere und nutze ich personenbezogene Daten. Das wird mir im Einzelnen erst bewusst, wenn ich mir das wirklich detailiert ansehe.
Welche Daten speichere ich?
Es gibt noch andere Daten, die erhoben werden können, das betrifft mich aber (aktuell) nicht. Ich biete keinen Newsletter an, man kann sich hier nicht registrieren, etc.
Kritisch ist bei meiner Speicherung vor allen Dingen, wenn nicht nur ich, sondern auch andere Zugriff auf diese Daten haben. Da wäre z. B. mein Hosting-Anbieter, der IPs im Logfile speichert, Google Analytics, das die IPs überträgt und nutzt oder auch einfach Sharing-Buttons, die ebenfalls personenbezogene Daten abgreifen. Ich als Webseitenbetreiber muss sicherstellen, dass niemand unbefugt an die Daten der Nutzer kommt und diese nutzt. Wenn doch jemand Daten speichert – wie der Hosting-Anbieter, muss ich mit diesen Anbietern 1.) einen Vertrag abschließen und 2.) meine Nutzer darüber informieren.
Neben diesen Punkten muss ich darüber nachdenken, welche Daten ich wirklich benötige. Hier gilt für mich das Prinzip „So viel wie nötig, so wenig wie möglich!„. Und dieses Prinzip führte dazu, dass ich viele Dinge ändern musste.
Im Folgenden also meine persönliche Checkliste mit den Dingen, die ich nutze/speichere und wie ich sie hier auf Leben-Lieben-Larifari.de gelöst habe.
Datensicherheit bei der Übertragung
Die SSL-Verschlüsselung stellt sicher, dass vertrauliche Daten geschützt sind und zwischen der Eingabe auf dem Blog und dem Speichern in der Datenbank nicht von fremden Quellen angezapft werden können. Eigentlich hätte ich diese Verschlüsselung schon viel früher angehen können und müssen. Ich scheute mich davor, weil die Anleitungen ellenlang und Fehler quasi vorprogrammiert waren. Doch als ich bei meinem langjährigen Webspace-Anbieter all-inkl.com* (Affiliate-Link) genauer hinsah stellte ich fest, dass das wirklich schnell erledigt ist. Testweise stellte ich erst eine ungenutzte Domain um, das dauerte keine 5 Minuten. Im Anschluss die Firmenwebseite meines Schwiegervaters und zuletzt meinen Blog.
all-inkl.com bietet da wirklich guten Service, weil mit nur ein paar Klicks ein Zertifikat von Let’s Encrypt bereitgestellt und die Seite entsprechend verschlüsselt wird. Hier im Blog gut sichtbar am https bzw. dem Schloss, das der Domain vorangestellt ist.
Analyse mit Analytics
Für die Analyse meiner Zielgruppe nutze ich eine Statistik. In meinem Fall ist es Google Analytics. Da Google aber die IP-Adresse des Seitenbesuchers auf Server in den USA überträgt und selbst kaum darüber aufklärt, wie genau Daten genutzt werden, musste ich hier tätig werden. Ich muss mit Google einen Vertrag abschließen, die IPs anonymisieren (hatte ich eh), und dem Nutzer eine Opt-Out Möglichkeit geben, wenn er mit dem Tracking nicht einverstanden ist.
Da ich mir mit Google Analytics aber nicht sicher bin, teste ich momentan außerdem noch ein anderes Plugin (WP Statistics) und vergleiche die Zahlen und Angaben. Wenn sie ähnlich sind, werde ich Analytics bis Mai entfernen. Abgesehen von der DSGVO ist mir Google, als Anbieter aus den USA, eher suspekt diesbezüglich.
Analyse mit Matomo
EDIT 08. 05.:
Ich war mit Google Analytics gar nicht mehr glücklich und habe das Tool nun frühzeitig rausgeschmissen. Google veröffentlichte kürzlich die neue EU User Consent Policy und hat sich damit bei vielen ins Aus geschossen – so auch bei mir. Google wälzt sämtliche Verantwortung auf den Webseitenbetreiber ab, statt eine einheitliche Lösung anzubieten. Das war für mich der Startschuss zum Wechsel. WP Statistics zeigte sich aber als ungeeignet, da die Zugriffszahlen falsch sind. Ich nutze jetzt Matomo, was zwar erstmal einen Aufwand beim Einrichten bedeutet, aber im Endeffekt schütze ich damit die Daten meiner Besucher und das hat oberste Priorität.
Datenschutzerklärung
Eine Datenschutzerklärung ist sowieso schon lange Pflicht, doch nun muss sie ausführlicher gestaltet sein und darüber informieren, welche Daten auf der Webseite erfasst und in welcher Form verarbeitet werden. Meine wurde schon beim letzten Update ausführlicher und behandelt einiges. Momentan verändere ich sie aber fast täglich, damit auch alles drin ist.
Formulare
Beim Kommentieren und im Kontaktformular werden Daten abgefragt, übertragen und gespeichert. Hier muss ich darauf hinweisen, dass dem so ist. Beim Kontaktformular habe ich einfach eine Checkbox hinzugefügt:
Bei den Kommentaren habe ich den Namen und die E-Mail-Adresse als Pflichtfeld rausgenommen und moderiere nun alle manuell. Schade, aber um Spam zu vermeiden geht das leider nicht anders.
Social Media
Zum Teilen von Beiträgen oder einfach um bei Facebook ein „Gefällt mir“ zu vergeben, hatte ich mal ein Facebook-Widget implementiert. Da das die Seitenladezeit aber beeinflusste, ist es schon vor einer Weile rausgeflogen. In diesem Zuge bin ich auf das Sharing-Plugin Shariff Wrapper umgestiegen. Das ist auch dateschutztechnisch okay, weil es nicht schon beim Aufrufen der Seite die IP abfragt, sondern erst Daten sendet, wenn der Nutzer tatsächlich auf den Button klickt und teilen möchte.
Zuletzt musste ich das Script rausschmeißen, das ermöglichte Bilder direkt bei Pinterest zu pinnen. Nun ist ein Umweg über Pinterest, einen Brwoser-Button oder die kleinen Buttons am Ende des Artikels nötig.
Google Fonts
Um nicht nur die Standard-Schriften für die Webseite zu verwenden, gibt es die wunderbare Möglichkeit Google Fonts zu nutzen. Die sind kostenfrei, die Seite lädt sie direkt von Google und alles ist ganz einfach. Würde Google dabei nicht Daten vom Nutzer abfragen. Ich habe das in meinem Theme abgeschaltet, einige Fonts bei mir auf den Server geladen und in die Seite eingebunden. Dennoch funktionierte das nicht von Anfang an und ich musste einiges ausprobieren, um die richtige Lösung zu finden.
EDIT: 10. 05.
Für das Entfernen der Fonts gibt es mehrere Möglichkeiten. Es gibt Plugins, die das einfach regeln. Ebenso kann man das aber auch über ein Child-Theme und die funktions.php machen, um den Blog nicht mit weiteren Plugins zu belasten. Außerdem kann auf einer versteckten Seite im Backend die Schriftart eingestellt werden.
(Klickt man irgendwo auf der Seite rechts und wählt „Untersuchen“ [in Chrome] -> dort dann auf „Sources“ -> kommt eine Auflistung der externen Abrufe.)
Lösung #1 – via Plugin:
Es gibt die Plugins Disable Google Fonts und Remove Google Fonts References. Beide habe ich, leider ohne Erfolg, ausprobiert, Google Fonts wurden weiterhin geladen.
EDIT: 11. 05.
Lösung #2 – via versteckter Einstellung:
Durch Zufall stieß ich auf eine Seite, die ich in meinem WordPress-Backend noch nicht kannte. Und zwar ist das DeineDomain.de/wp-admin/options.php (Bei der Nutzung des Standard-Pfads. Solltest Du Dein Admin-Panel versteckt haben, weicht das ab!). Sie beinhaltet alle Einträge, die dem Unterpunkt „Einstellungen“ unterliegen und braucht ein wenig Zeit, um vollständig zu laden.
Um dort das zu finden, wonach Du suchst, drückst Du (unter Windows) am besten Strg + F und gibst in das aufploppende Suchfeld „googlefonts“ oder die Schriftart ein, die Du unter „Sources“ gesehen hast. Wenn Dein Theme irgendwo im Hintergrund Google Fonts abruft, stehen die Chancen ganz gut, dass Du sie hier findest. Du kannst die Fonts ganz einfach selbst hosten: Hier runterladen und dann diese Anleitung befolgen. Einige Themes haben aber auch eine Funktion, mit der Du selbst eigene Fonts einbinden kannst (mein Theme Avada z. B. bietet das ganz bequem im Backend an). Schau einfach mal in die Dokumentation.
Lösung #3 – via Script in der functions.php:
Zuletzt habe ich einen Schnipsel in die funktions.php eingefügt, der die Abfrage der Google-Fonts unterbinden soll. Das kann aber nur funktionieren, wenn der Theme-Autor die Funktion wp_dequeue_style() nutzt. Ich habe folgenden Schnipsel in meine functions.php eingefügt:
Im Theme Avada z. B. ersetze ich THEME-NAME mit „avada-fonts“. In anderen Themes funktioniert das ähnlich. Da müsst Ihr in Eure funktions.php und/oder style.css schauen und herauslesen, wie die Fonts abgerufen werden.
Das war für mich dann – endlich! – die Lösung und Google Fonts werden nicht mehr geladen. Yay!
IP-Adressen auf dem Blog
WordPress speichert automatisch IP-Adressen der Nutzer, wenn ein Kommentar abgegeben wird. Ich hab hier mehrere Dinge geändert.
Im ersten Schritt habe ich die IP-Speicherung abgeschaltet. Im zweiten Schritt auch die alten IP-Adressen aus der Datenbank entfernt. Aktuell überlege ich aber, ob ich die Speicherung nicht doch sinnvoll ist. Alleine aus strafrechtlicher Sicht.
Um die Speicherung abzuschalten, habe ich folgenden Code in die funktions.php meines Child-Themes eingefügt:
Um die Datenbank von allen IP-Adressen aus alten Kommentaren zu bereinigen, habe ich diesen SQL-Befehl ausgeführt:
Plugins & Funktionen
Plugins sind Softwareerweiterungen, die in WordPress bestimmte Funktionen übernehmen können. Da hatte ich bereits ein paar installiert, doch durch die DSGVO kamen einige dazu, andere mussten weichen. Meine Kurzfassung:
Jetpack hatte ich sowieso nur noch in Teilen genutzt, da das aber nicht DSGVO-kompatibel ist, habe ich es gänzlich gelöscht. Akismet ist zwar standardmäßig installiert, habe ich aber auch schon vor Ewigkeiten durch AntiSpam Bee ersetzt, weil dort die IP-Anonymisierung einschaltbar ist.
Gravatare – die kleinen Bildchen, die die Kommentarfunktion ein wenig ansprechender gestalten – musste ich ebenfalls deaktivieren. (Bei mir reichte es nicht eine andere Option (wie „Identicon“ oder gar „kein Avatar“) einzustellen, ich musste die Avatare vollständig deaktivieren.)
Emoticons habe ich via Script ausgeschaltet, weiß aber nicht, ob das tatsächlich funktioniert, weil hier nirgends welche ausgegeben werden. Zusätzlich wollte ich sämtliche Smilies entfernen, was aber gar nicht so einfach war, weil kein Script oder Plugin funktioniert. Alternativ habe ich nun Font Emoticons eingesetzt, bin mir aber immer noch nicht sicher, ob ich mit dieser Lösung so glücklich bin.
EDIT 19. 05.:
Smilies werden immer noch angezeigt, da muss ich nochmal ran.
Die zusätzlich nötigen Plugins nerven mich aktuell ein wenig, weil sie die Seitenladezeit negativ beeinflussen, aber da hoffe ich einfach, dass WordPress in naher Zukunft dahingehend angepasst wird und diese überflüssig werden.
Demnächst werde ich noch einmal eine aktualisierte Liste meiner genutzten Plugins veröffentlichen, hier aber eine kleine Auflistung derer, die für die DSGVO hinzu gekommen sind.
- WP GDPR
Das Plugin setzt an mehreren Stellen an: Es fügt eine Erklärung an die Kommentarfunktion, stellt eine Seite zur Verfügung, um eine Anfrage zur Einsicht der eigenen Daten zu erwirken und hilft mir, diese Informationen zur Verfügung zu stellen.
EDIT 21. 05.:
Um die unten sichtbare Box hinzuzufügen habe ich ein wenig am HTML gespielt und eine Tabelle gebastelt. Einfach bei WP GDPR -> Einstellungen -> Einstellungen für WordPress comments im Feld unter „Text“ folgenden Code einfügen:
Dabei kannst Du #ffffff (weiß) durch Deine gewünschte Farbe ersetzen, Deinen Text ändern, die Schriftgröße und natürlich den Link zu Deiner Datenschutzerklärung einfügen.
- WP GDPR Compliance
Alternative zum ersten Plugin, hat ein paar mehr Einstellungen, stellt aber keine Seite für Anfragen/mit den angeforderten Informationen zur Verfügung, fügt dafür auch Checkboxen im Kontaktformular oder in einem Shop (WooCommerce) hinzu. Ich nutze dieses (momentan) nicht. - Google Analytics Opt Out
Dieses Plugin realisiert das erwähnte Opt-Out für Google Analytics. Achtung: Das automatische Einfügen hat bei mir im ersten Anlauf nicht funktioniert – und wie ich festgestellt habe bei einigen Anderen auch nicht. Ich habe den Link nochmal manuell gesetzt, jetzt kann sich tatsächlich ausgetragen werden. (nutze ich nicht mehr, da Google Analytics nicht im Einsatz ist) Remove Google Fonts
Sorgt dafür, dass die WordPress-Installation keine Google-Fonts mehr verwendet. Im Vordergrund funktioniert das bei mir, aber ich sehe im Hintergrund immer noch, dass eine Verbindung zu Google Fonts besteht.(funktionierte hier nicht)
Verarbeitungsverzeichnis
Einzig das Verarbeitungsverzeichnis ist mir noch ein wenig suspekt. Theoretisch soll ich darin festhalten, welche Daten ich erfasse und wie ich diese speichere und verarbeite. Doch es ist nicht weiter spezifiziert, in welcher Form das geschehen muss und die gefundenen Infos dazu sind mau, weil die meisten Webmaster nicht so genau wissen, was da auf sie zu kommt.
Ich habe ein Muster für ein Verzeichnis von Verarbeitungstätigkeiten gefunden, doch das erscheint mir zu umfangreich, die meisten Punkte treffen auf mich und meinen Blog überhaupt nicht zu.
…fertig!
Ich bin wirklich froh, dass ich den Großteil schon erledigt habe und nur noch wenige Punkte auf der Liste habe, die abzuhaken sind. So kann ich dem 25. Mai fast entspannt entgegen sehen.
Wie sieht es bei Dir aus? Bist Du bereit für den 25. Mai? Oder sind da noch To-Dos, die abzuhaken sind? :-)
Das ist eine super Zusammenstellung, danke! Wo ich mir noch unsicher bin, muss man auch mit Webspace-Anbieter all-inkl.com einen zusätzlichen Vertrag abschließen?
Danke, Dir, Anka. :-)
Ja, auch mit den Webspace-Anbietern muss so ein Vertrag abgeschlossen werden. All-inkl.com hat aber angekündigt diesen bis zum 25. Mai bereitzustellen.
Wie hast du denn den Hinweis in das Kommentarfeld bekommen?
Hallo Jörg,
ich habe das oben mal hinzugefügt. Unter „Plugins & Funktionen“. Hoffe das hilft. :)
LG, Tanja