Geschützte Daten – geschützter Webmaster

Dieser Beitrag versucht konstruktive Hilfestellung bei der Umsetzung der ab Mitte Mai geltenden DS-GVO zu geben.
Alle Vorgehensweisen und Tipps gelten für ein selbst gehostetes WordPress-Blog.

Ich gebe zu: Nachdem ich als Webmaster unserer Schulhomepage schon einmal unliebsame Erfahrungen mit einem Abmahnversuch machen durfte, hat mich die am Horizont drohende DS-GVO nicht kalt gelassen.
Mit dem Verweis auf „Datenschutz-Hysterie“ oder „Das regelt sich schon“ kann ich auch nicht so viel anfangen, denn letzten Endes ist meine Schulleitung haftbar, und ich würde ihr (und mir) gerne Ärger ersparen.
Und um ehrlich zu sein: Vieles davon wäre auch nach BDSG schon längst fällig gewesen…

Daher habe ich dieses Blog mal als Testfeld genutzt und mich daran versucht, diese Seite absolut Datenschutz-konform umzubauen, vielleicht kann der eine oder andere mit den folgenden Tipps ja etwas anfangen.

Grundsätzlich dürfen ohne konkrete Einwilligung der Seitenbesucher keine personenbezogenen Daten (und dazu zählt auch die IP) an Dritte übermittelt werden.

Damit muss jeglicher Form von Tracking durch eingebettete Schriftarten, Youtube-Videos oder andere Seiten durch den Seitenbesucher explizit zugestimmt werden. Einfach nur eine Datenschutzerklärung generieren zu lassen, die alle Möglichkeiten umfasst, reicht meiner Ansicht nach nicht aus.1
Da ich keine Möglichkeit sehe, eine solche Zustimmung zu jeder Aktivität zu realisieren, sehe ich nur die Möglichkeit, jegliche Form von Tracking zu unterbinden.

Ich habe demzufolge fünf Baustellen für dieses Blog ausgemacht:

  1. Alle Plugins, deren Datenübertragung an Dritte mir nicht kontrollierbar erscheint, müssen weichen. Insbesondere das Jetpack-Plugin ist hier betroffen.
  2. Das Einbetten von Youtube-Videos, Instagram- und Twitter-Feeds ist nicht mehr möglich. Damit entfallen auch entsprechende Widgets.
  3. Die Kommentarfunktion muss abgeschaltet oder mit einer zusätzlichen Schaltfläche zur Zustimmung zur Datenübermittlung versehen werden.
  4. Die Nutzung von Google Fonts ist nicht mehr möglich, auch hier findet ein Tracking statt.2
  5. Eine neue Datenschutzerklärung muss her.

Eine Überprüfung des Blogs auf vollständige Datensicherheit ergab zudem noch den Hinweis auf eine unsichere Verbindung durch HTTP anstelle von HTTPS und ein Referrer-Leck.

Und so bin ich konkret vorgegangen:

Plugins

Zuerst habe ich das Jetpack-Plugin deinstalliert, ich benötige die Besucherstatistiken und Like-Möglichkeiten auch nicht unbedingt.3

Da ich GoogleAnalytics nie genutzt habe, entfiel hier die Einrichtung einer Opt-Out-Möglichkeit und der erforderliche Vertrag über Auftragsdatenverarbeitung mit Google.

Wo ich schon mal dabei war, habe ich die Gelegenheit genutzt, und Akismet durch Antispam Bee ersetzt, hier hatte ich schon länger ein schlechtes Gewissen, jetzt war es höchste Zeit. Hier muss nur darauf geachtet werden, dass die Checkbox „Öffentliche Spamdatenbank berücksichtigen“ nicht aktiviert ist.

Unter Einstellungen – Diskussion habe ich die Anzeige von Avataren deaktiviert, ansonsten müsste man auch hier Vorsorge treffen, dass bei den Kommentaren keine Abfrage der Gravatar-Verknüpfung zur angegebenen E-Mail-Adresse auf den Auttomatic-Servern erfolgt.

Ein noch ungelöstes Problem sind Security-Plugins, die ja mittels IP-Abgleich mit einer Black- oder Whitelist funktionieren. Das von mir genutzte Wordfence bietet keinen Vertrag über Datenverarbeitung an, aber ein Blog ohne Schutz zu betreiben ist nicht ratsam. Daher bleibt dieses Plugin bestehen.

Ein Plugin, das ich ebenfalls in Ruhe gelassen habe, ist Shariff Wrapper von der Computerzeitschrift c´t, um datenschutzkonforme Sharing-Buttons nutzen zu können. Ob Shariff tatsächlich die Anforderungen der DS-GVO erfüllt, kann ich noch nicht absehen, aber jedenfalls gibt es hier kein Tracking schon beim bloßen Aufruf des Blogposts.

(Nachtrag: Nach dem Lesen des sehr empfehlenswerten Beitrags von Armin Hanisch zu diesen Thema, habe ich dieses Plugin inzwischen doch deinstalliert.)

Embedding

Auch der Verzicht auf Embedding kostete noch keine große Mühe. Hier habe ich die entsprechenden Beiträge entweder einfach gelöscht oder anstelle des eingebetteten Codes einfach auf Video oder Tweet verlinkt.

Ich bin mir nicht sicher, ob ein Häkchen bei „Erweiterten Datenschutzmodus aktivieren“ zum sicheren Einbetten eines Youtube-Videos genügt, daher mein genereller Verzicht.

Kommentare

Da ich zumindest auf diesem Blog auf die Kommentarfunktion nicht verzichten wollte, habe ich das Plugin WP GDPR Compliance installiert. Dieses fügt dem Kommentarbereich eine zusätzliche Checkbox hinzu, mit der bestätigt werden muss, dass der Datenübermittlung zugestimmt wird. Andernfalls kann der Kommentar nicht abgeschickt werden.

Google Fonts

Kurzzeitig habe ich das Blog tatsächlich komplett Tracking-frei bekommen:

Dazu habe ich mit dem Plugin Remove Google Fonts References das Tracking zu fonts.googleapis.com unterbunden.
Aber hier streike ich: Ich habe keine Lust, die von mir gewünschten Schriftarten mittels CSS und FTP-Client selber zu hosten.4
Daher habe ich beschlossen, es hier gut sein zu lassen und dieses Plugin zu deinstallieren. Ich bin noch nicht einmal sicher, ob der Aufruf von fonts.googleapis.com nicht sogar DS-GVO-konform sein kann, immerhin ist nicht klar, ob die Daten überhaupt gespeichert und verarbeitet werden. Wenn mal irgendwann wer kommt, kann ich es ja schnell ändern.

(Nachtrag: Marina Braun erklärt umfassend, wie man hier Abhilfe schaffen kann. Der Link zu ihrem Tutorial findet sich in den Kommentaren.)

Es wird also nur fast perfekt:

Übrigens, wo wir schon bei Schriftarten sind: Die Emojis, die seit WordPress 4.4 möglich sind, werden ebenfalls von Auttomatic-CDN-Servern angefordert und inkludiert. Auch hier muss dazu die IP-Adresse übermittelt werden. Um die – ohnehin überflüssigen – Emojis zu deaktivieren, kann das Plugin Disable Emojis genutzt werden.

Datenschutzerklärung

Die DS-GVO schreibt eine auch für Laien verständliche Datenschutzerklärung vor, die genau an die jeweilige Webseite angepasst sein muss. Die schließt eigentlich die üblichen Datenschutz-Erklärungs-Generatoren aus.
Da ich mir aber nicht zutraue, eine juristisch möglichst wasserdichte Datenschutzerklärung zu verfassen (und mir die ganze Arbeit aber ohne auch sparen könnte), habe ich mir hier eine Rohfassung generieren lassen und sie dann an meine Bedürfnisse angepasst: Deutsche Gesellschaft für Datenschutz

HTTPS und Referrer

Ab hier wird es etwas kniffliger. Bislang bin ich mit Hilfe von Plugins oder einfachen Anpassungen in den WordPress-Einstellungen ausgekommen, ab hier nicht mehr:

Um die Referrer-Funktion abzustellen, muss man eine kleine Zeile Code in die header.php seines Themes einfügen.
Dazu habe ich mit einem FTP-Programm die Datei heruntergeladen, und mit dem Editor (noch besser: Notepad) in den HEAD-Bereich die Zeile

<meta name=“referrer“ content=“no-referrer“>

einkopiert und die Datei wieder auf den Server hochgeladen.

Um die Seite auf HTTPS (Hypertext Transfer Protocol Secure) umzustellen, benötigt es ein Zertifikat. Hier gibt es mehrere Wege, ich habe direkt bei meinem Webhoster eines bestellt. Damit hat dieser auch die Implementierung übernommen und mir bleib nur noch, die Seite entsprechend umzuleiten.

Dazu habe ich die .htaccess-Datei aus dem Root-Verzeichnis heruntergeladen und an oberster Stelle folgenden Code eingefügt:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Das war’s.5

Nicht vergessen, in den WordPress-Einstellungen („Einstellungen“ –> „Allgemein“) die URL des Blogs ebenfalls auf HTTPS umzustellen.

Fazit: Es geht, Spaß macht es keinen und zumindest noch kommt das eine oder andere Plugin dazu.
Ohnehin ist auch nach diesen Anpassungen das Blog z.B.ohne Verfahrensverzeichnis noch lange nicht 100%-ig legal, aber irgendwann hört’s auch mal auf.

Trotzdem erscheint mir dieser Aufwand von etwa einem guten Abend (inzwischen) durchaus sinnvoll. Manches davon hätte ich auch nach dem BDSG schon längst erledigen sollen. Und die Daten meiner wenn auch wenigen Besucher dieses Blogs sind diese Mühe wert. Es ist ja keine Raketenwissenschaft, hier Abhilfe zu schaffen.

Disclaimer

Dieser Artikel stellt keine Rechtsberatung dar. Ich habe mich mit den Bestimmungen der DSGVO zwar beschäftigt, um die entsprechenden Regelungen für meine Blogs umsetzen zu können, bin aber weder Jurist noch Datenschutzexperte. Obwohl ich mit aller angemessenen Sorgfalt auf die Richtigkeit der veröffentlichten Informationen achte, kann hinsichtlich der inhaltlichen Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit und Vollständigkeit dieser Informationen sowie für allfällige Rechtsfolgen, die sich aus der Umsetzung dieser Informationen ergeben, keinerlei Gewähr übernommen werden.

  1. DS-GVO, Artikel 6, Abs. 1, a)
  2. Über diesen letzten Punkt lässt sich streiten, denn Google ist hier nicht ganz eindeutig in seiner Erklärung. Streng genommen findet aber ein Tracking statt, daher habe ich die Fonts mit einbezogen.
  3. Wer auf Besucher-Statistiken nicht verzichten mag, könnte es mit Mamoto (früher Piwik) versuchen.
  4. Wer hier weniger Berührungsängste und mehr Zeit hat, dem kann ich Google-Webfonts-Helper empfehlen.
  5. Eine ausführlichere Darstellung zur Umstellung von HTTP auf HTTPS gibt es hier.

Zurück

Ferien. Ruhe.

  1. Bzgl. der Youtube-Videos ist dieses Plugin für WordPress ganz brauchbar:

    Das Plugin „Embed videos and respect privacy“ (https://de.wordpress.org/plugins/video-embed-privacy/) bindet Youtubevideos datenschutzkonform ein. Es muss nur installiert und aktiviert werden. Danach werden alle Videos (auch bereits bestehende Einbindungen) erst von einem „Disclaimer“ überlagert. Das Video (und damit auch die Tracker von Google) wird erst aktiv, wenn man auf den Disclaimer klickt.

    • Arne.Paulsen

      Danke für den Tipp! Das probiere ich mal aus.
      Schade ist, dass es gerade immer mehr Plugins werden, mal sehen, wie lange WordPress die beste Lösung für mich bleibt.

  2. Das Referrer Problem lässt sich übrigens ebenfalls über ein Plugin lösen, mit welchem das meta tag erzeugt und auf jeder Seite eingefügt wird. Es nennt sich Meta Tag Manager
    https://wordpress.org/plugins/meta-tag-manager/
    Das erspart die Handarbeit und FTP.

    Das Thema Abmahnungen wird, so denke ich, nur in der Anfangszeit nach Inkrafttreten der Datenschutzgrundverordnung ein Thema sein. Der Gestzgeber wird hier sehr schnell steuernd eingreifen, wenn zu erkennen ist, dass mit dieser Thematik Missbrauch getrieben wird.

    • Arne.Paulsen

      Ja, aber beim Referrer habe ich die Möglichkeit gesehen, ein Plugin einzusparen.
      Das mit den Abmahnungen sehe ich ähnlich, und für mein privates Blog allein wäre ich vielleicht auch gar nicht so ängstlich. Bei der Schulhomepage sieht es anders aus, hier verlassen sich Leute auf mich, die weder in der Problematik noch in der Technik drinstecken, aber am Ende den Ärger hätten.

  3. Foorbie

    Vielen lieben Dank für den guten Artikel!
    Ich hab das mit den Schriften mal verfolgt und das Ergebnis aufgezeichnet. (Ja, ich habe zwischenzeitlich einen PHP-Entwickler um Hilfe gebeten und nein, das war unnötig, die Lösung ist eigentlich ganz einfach… Wer suchen kann, wird fündig werden. )

    https://www.youtube.com/watch?v=EY7mT4fm5Kc

    Und ich war so frei, deinen Disclaimer zu borgen und für mich anzupassen, hoffe, das war ok.

Schreibe einen Kommentar

Präsentiert von WordPress & Theme erstellt von Anders Norén