Ab 25.05. wird die Datenschutzgrundverordnung umgesetzt und versetzt derzeit das ganze Internet in Angst und Schrecken. Da ich mich mittlerweile auch viele Stunden mit diesem Thema auseinandergesetzt habe, soll am Ende wenigstens ein Blogbeitrag herauskommen. Vielleicht bietet das dem einen oder anderen noch eine Anregung auf den letzten Metern. Zur die DSGVO im allgemeinen möchte ich mich hier gar nicht äußern. Viel mehr soll es darum gehen, welche Themen ich als relevant für diesen (und andere) mit WordPress betriebenen Blog identifiziert habe und wie ich mit der Thematik umgehe. Ein paar einleitende Worte zur DSGVO dürfen zum Verständnis trotzdem nicht fehlen.
Wie immer bei solchen Beiträgen gilt: Alles ist meine Meinung, bzw. mein Verständnis als völliger Laie in Rechtsfragen. Ich beschreibe hier wie ich die Situation verstehe und was ich daraus für mich schließe.
Grundlegendes zur DSGVO und Blogs
Die DSGVO vereinheitlicht Datenschutzregelungen in der gesamten EU und betrifft damit so gut wie jeden, der eine Webseite betreibt, da beim Betrieb einer Webseite fast immer personenbezogene Daten anfallen und verarbeitet werden. Dies stellt derzeit fast alle Websitebetreiber vor größere Herausforderungen.
Was personenbezogene Daten sind regelt Art. 4, Abs 1 der DSGVO. Bei einer Webseite sind dies z.B. IP-Adressen in Logfiles des Servers oder bei WordPress-Kommentaren. Namen, die bei Emailanfragen oder über ein Formular übermittelt werden. Persönliche Emailadressen, aber auch Cookies, über die ein Besucher identifiziert werden kann.
Verarbeitung wird in Art. 4, Abs. 1 der DSGVO beschrieben. Zusammenfassend kann man sagen: Wenn bei einem Blog personenbezogene Daten anfallen, dann werden diese auch verarbeitet.
Grundsätzlich gilt: Die Verarbeitung personenbezogener Daten ist verboten. Außer sie ist aufgrund einer Ausnahme in Art. 6, Abs. 1 erlaubt. Für Webseitenbetreiber relevant sind folgende Ausnahmen:
- Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
- Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
- Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
D. h. jede Verarbeitung muss mit einer dieser Ausnahmen begründet werden können, ansonsten ist die Verarbeitung verboten.
Es existieren mittlerweile unzählige WordPress Plugins, die alle möglichen Formulare mit Checkboxen versehen um oben genannte Einwilligung zu verlangen. Besonders nach dem hören der Podcasts Datenschutz-Guru: Braucht mein Kontaktformular eine Checkbox und dem von mir sehr geschätzten Podcast Rechtsbelehrung halte ich diese Checkboxen für problematisch und verzichte völlig auf sie. Warum? Erstens ist eine Einwilligung im Zweifel nur wirksam, wenn man nachweisen kann dass der Nutzer auch wirklich eingewilligt hat. Diesen Nachweis kann man nicht erbringen, da die Einwilligung nirgends dokumentiert wird und eine Fehlfunktion des Plugins ist ebenfalls nicht auszuschließen. Außerdem kann eine Einwilligung jederzeit widerrufen werden. Damit kommen weitere Dokumentationspflichten auf einen zu.
Das führt direkt zum Punkt Maßnahmen. Ich versuche schon immer nur so wenige Daten wie möglich zu erfassen. Daten die ich nicht habe kann ich auch nicht verarbeiten.
Maßnahmen
Ich möchte hier serverseitige Maßnahmen und Maßnahmen in WordPress unterscheiden. Beginnen will ich jedoch direkt mit dem Verarbeitungsverzeichnis, da dies eine schöne Übersicht bietet wo es Baustellen hinsichtlich des Datenschutzes auf der eigenen Webseite gibt. Beim Erstellen des Verzeichnisses fällt einem schnell auf wo Daten erfasst werden und wo man evtl. auch darauf verzichten kann. Für mich ist das Erstellen des Verarbeitungsverzeichnises eher ein begleitender Prozess als ein Punkt den man abhakt.
Verzeichnis von Verarbeitungstätigkeiten
Wer Daten verarbeitet muss ein Verzeichnis von Verarbeitungen führen ( Art. 30 DSGVO). Auch das trifft leider wieder kleine Webseitenbetreiber, ist aber bei genauerer Betrachtung halb so wild. Die Ausnahme für kleine Unternehmen greift für Webseitenbetreiber leider nicht. Unternehmen mit weniger als 250 Mitarbeiter müssen kein Verarbeitungsverzeichnis führen, außer die Verarbeitung erfolgt „nicht nur gelegentlich“. Leider verarbeiten wir mit Webserver und dynamischen Webseiten mit Kommentaren, Werbung usw. ständig personenbezogene Daten, so dass die Ausnahme wohl nicht greift.
Eine schöne, vereinfachte Vorlage für ein solches Verzeichnis findet man beim bayrischen Landesamt für Datenaufsicht, hier kann z. B. die Version für Einzelhändler als Vorlage genutzt werden. Aufgrund dieser Vorlage kann man nun ein Verzeichnis in Excel, Word oder auf Papier erstellen, wo alle Gründe für die Verarbeitung personenbezogener Daten aufgeführt sind. Dabei gilt: in der Kürze liegt die Würze. Man überlegt also wo personenbezogene Daten anfallen und füllt für jeden Vorgang eine Zeile aus. Die Aufführung erfolgt dabei nach Verarbeitungstätigkeit und nicht nach Verarbeitungsort oder Software. Beispiele hierfür können sein: Betrieb des Webservers, Kommunikation mit Kunden/Besuchern und nicht WordPress, Apache, Thunderbird…
Für den Betrieb des Webservers sieht das bei mir folgendermaßen aus:
Serverseitige Maßnahmen
Da ich keinen Grund sehe die IP-Adressen sämtlicher Webseitenaufrufe in Logfiles zu erfassen, habe ich diese schon vor längerer Zeit anonymisiert. Oft angeführte Argumente zum Speichern von vollständigen IP-Adressen sind das Abwehren von DDos Attacken oder Anfragen von (Polizei-)Behörden. Zum Abwehren von DDos Atacken stehen mir sowieso nicht die benötigten Ressourcen zur Verfügung. Das muss der Hoster [Netcup ❤️] übernehmen bevor mich die Attacke trifft. Und was eventuelle Anfragen von Behörden angeht -> tough luck!
Mir ist keine gesetzliche Grundlage bekannt die mich hier zur Vorratsdatenspeicherung berechtigt oder verpflichtet.
Im access.log wird daher nur eine verkürzte IP-Adresse gespeichert, die somit keinen Rückschluss auf einen speziellen Internetanschluss zulässt und damit auch nicht mehr personenbezogen ist. Zur Anonymisierung der access.logs habe ich mich in den Beiträgen IP Adressen in Apache Logfiles anonymisieren und Nginx Logfiles anonymisieren und mit AWstats auswerten befasst.
Es bleibt das error.log des NGINX. Hier habe ich keine Lösung für das Anonymisieren der Logfiles gefunden. Ich begegne der Situation damit, dass ich diese Logfiles täglich rotiere und nach sieben Tagen automatisch lösche.
Datenschutzerklärung
Die Pflicht zur Erstellung einer Datenschutzerklärung sowie die Pflicht zur Nennung der Grundlage der Verarbeitung (siehe oben: Ausnahmen die eine Verarbeitung erlauben) ergibt sich aus Art. 13, Abs. 1c. Darin heißt es dass der Verantwortliche (wir) dem betroffenen (Webseitenbesucher) folgendes mitteilt: „die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung“
Auch wenn sich die Datenschutzerklärung kaum jemand durchliest, wird sie von jedem Webseitenbetreiber verlangt. Sie soll umfassend und trotzdem in verständlicher Sprache dem betroffenen mitteilen, wie seine Daten verarbeitet werden. Der entscheidende Unterschied zu den alten Datenschutzerklärungen ist, dass nun bei jeder Verarbeitungstätigkeit darauf hingewiesen werden muss auf welcher Grundlage die Verarbeitung erfolgt. Es muss also eine der oben genannten Ausnahmen genannt werden.
Eine prima Grundlage für die Erstellung einer Datenschutzerklärung ist der datenschutz-generator.de von Rechtsanwalt Dr. Schwenke, der vielen sicher aus oben genanntem Podcast Rechtsbelehrung bekannt ist.
Ich bin die erstellt Datenschutzerklärung tatsächlich Abschnitt für Abschnitt durchgegangen und habe diese ggf. angepasst. Hier werden beispielsweise Speicherfristen genannt, die man entweder so umsetzten muss oder man passt die Datenschutzerklärung entsprechend an. Auch gibt es Abschnitte z.B. zum speichern von IP-Adressen in Kommentaren, die bei mir einfach nicht zutreffen (siehe unten).
Die Datenschutzerklärung muss von jeder Seite aus erreichbar sein, was bei mir aber bisher schon der Fall war.
WordPress Kommentare an DSGVO anpassen
Standardmäßig speichert WordPress bei jedem Kommentar die IP-Adresse in der Datenbank. Außerdem wird ein Cookie gesetzt, so dass bestimmte Eingaben beim erneuten Kommentieren automatisch übernommen werden. Außerdem wird verlangt dass man beim kommentieren Name und Emailadresse angibt. WordPress geht hier unnötig unsensibel mit den Daten der Kommentierenden um.
Das speichern der IP-Adresse und des Cookies lässt sich über einen Eintrag in der functions.php von WordPress verhindern (Child-Theme anlegen, sonst ist die Änderung beim nächsten Update wieder weg).
Das speichern der IP-Adresse wird mit folgendem Eintrag verhindert:
add_filter( 'pre_comment_user_ip', '__return_zero' );
Das setzen des Cookies wird verhindert mit:
remove_action( 'set_comment_cookies', 'wp_set_comment_cookies' );
Da ich noch nie IP-Adressen bei Kommentaren erfasst habe, sind bei mir auch keine Adressen bei alten Kommentaren gespeichert. Wer bisher aber IP-Adressen gespeichert hat, und dies nicht mehr tun möchte, sollte die alten Adressen aus der Datenbank entfernen. Dies geht am einfachsten über ein Tool wie Adminer oder phpMyAdmin. Hier wechselt man zur WordPress-Datenbank und führt folgenden SQL-Befehl aus (wie immer bei solchen Eingriffen vorher ein Backup machen [Echt jetzt!]):
UPDATE wp_comments SET comment_author_IP = ' ';
Standardmäßig verlangt WordPress dass beim kommentieren Emailadresse und Name angegeben werden. Ich wollte beides noch nie als Pflichtfeld haben. Dies kann man glücklicherweise einfach im Backend unter Einstellungen -> Diskussion ändern. Hier einfach den Haken bei Benutzer müssen zum Kommentieren Name und E-Mail-Adresse angeben entfernen.
Generell halte ich es auch für unnötig eine Emailadresse beim kommentieren anzugeben. Ich habe bisher noch niemanden aufgrund eines Kommentars per Email kontaktiert. Wer mir eine Frage in einem Kommentar stellt, dem antworte ich auch in einem Kommentar. Somit habe ich mich entschlossen das Emailfeld komplett zu entfernen, mit folgendem Eintrag in der functions.php
function ra_remove_comment_email_field( $field ) { return ''; } add_filter( 'comment_form_field_email', 'ra_remove_comment_email_field' );
Damit ist das Kommentieren komplett ohne die Angabe personenbezogener Daten möglich.
Entfernen von Google Fonts
Standardmäßig bindet das von mir genutzte WordPress-Theme MH-Theme die Schriftart Open-Sans via Google Fonts ein. Hierbei werden wie bei jedem Aufruf von Inhalten mindestens die IP-Adresse übertragen. Dies habe ich verhindert, indem ich Open-Sans lokal eingebunden habe. Die Schriftart wird dabei von meinem Server geladen und nicht mehr von Google.
Ich habe hierzu den Dienst von google-webfonts-helper genutzt. Dort bekommt man ein schönes Päckchen mit den Dateien der Schriftart geschnürt, welches man auf den eigenen Webserver oder Webspace hochladen muss. Außerdem bekommt man CSS-Code welcher in die style.css des WordPress-Themes integriert werden muss.
Anschließend müssen in den Einstellungen des Themes die Google-Fonts noch deaktiviert werden. Open-Sans wird nun trotzdem noch geladen, allerdings nicht mehr über Google.
Kommunikation via Email und die DSGVO
Ich glaube das ist ein Punkt der häufig übersehen wird. Gerade bei der Kommunikation via Email werden ja personenbezogene Daten wie Name und Emailadresse verarbeitet.
Bezugnehmend auf oben genannte Podcasts, kann die Verarbeitung von Emails oder der Kontakt via Kontaktformular (was dann eine Email versendet) in vielen Fällen mit der Erfüllung vorvertraglicher Maßnahmen gerechtfertigt werden, so dass hier ebenfalls eine Checkbox oder eine sonstige Einwilligung wohl überflüssig ist.
Die meisten Emailanfragen sind Anfragen bezüglich bezahlter Beiträge (gibt es hier bisher keine) oder „Supportanfragen“. Wenn man sich auf die Verarbeitung zur Erfüllung vertraglicher oder vorvertraglicher Maßnahmen beruft, muss man auch sicherstellen dass die Daten gelöscht werden, wenn diese nicht mehr benötigt werden.
Ich löse das dadurch dass alle Kommunikation zu diesem Blog in einem bestimmten Ordner im Emailprogramm landet. Dann habe ich mir einen sich wiederholenden Kalendereintrag gesetzt, der mich erinnert diesen Ordner zu prüfen. Alle nicht mehr relevanten Mails werden dann gelöscht. Eine Erfassung der Adressen in einem Adressbuch betreibe ich eh nicht.
Google Adsense und die DSGVO
Das ist ein Thema, dass ich leider auch jetzt noch nicht abschließend geklärt habe. Ich blende auf dieser Seite Werbung über Google Adsense ein und möchte eigentlich auch nicht darauf verzichten. Wen es stört, der soll einen Adblocker benutzen. Ich nerve niemanden mit Einblendungen dass er seinen Adblocker abschalten soll. Für mich bedeuten die Einnahmen über Adsense aber eine große Motivationshilfe.
Mit Einführung der DSGVO wird die Nutzung von Adsense aber schwieriger. Dies liegt gar nicht so sehr an der Datenschutzgrundverordnung selbst, sondern eher an Google die sich in dieser Hinsicht komplett aus der Verantwortung stehlen. So hat Google mit Wirkung zum 25.05. eine neue EU User consent policy eingeführt. In dieser wird festgelegt dass der Nutzer von Google Adsense (und anderen Google Produkten) dafür zu sorgen hat, dass der Besucher in die Nutzung Cookies und personenbezogener Werbung einwilligt.
Außerdem muss der Webseitenbetreiber die Einwilligung dokumentieren (retain records of consent given by end users) und den Besucher über alle Parteien informieren die Daten sammeln (You must clearly identify each party that may collect, receive, or use end users’ personal data as a consequence of your use of a Google product. You must also provide end users with prominent and easily accessible information about that party’s use of end users’ personal data.)
Google macht es sich hier extrem einfach, da mehr oder weniger der Wortlaut der DSGVO in die Nutzungsbedingungen gegossen wurden, zur Umsetzung jedoch keinerlei Hilfestellung gegeben wird. Besonders der letzte Punkt bezüglich der Informationspflichten wird sich meiner Meinung nach nicht umsetzen lassen. Der Grund ist, dass über Google Adsense nicht nur Anzeigen des Google Netzwerks sonder auch hunderter anderer Werbenetzwerke ausgeliefert werden, welche sich natürlich laufend ändern können. Über jedes dieser Netzwerke müsste in den Datenschutzbestimmungen informiert werden. Hier hätte Google z.B. die Werbepartner auf einer Webseite angeben können, die man via iframe oder ähnlichem in die Datenschutzerklärung integriert. Auch zum Einholen der Einwilligung hätte ein Tool bereitgestellt werden können. Immerhin hat Google neulich gejammert dass sie 500 Jahre Arbeit in die Vorbereitung der DSGVO gesteckt hätten.
Die einzige kurzfristige Lösung die ich gefunden habe, ist das deaktivieren personenbezogener Anzeigen.
So findet sich im Adsense Account unter Anzeigen zulassen und blockieren -> Alle eigenen Websites jetzt der Reiter EU-Nutzereinwilligung. Hier kann man zwischen (wahrscheinlich besser bezahlter) personalisierter Werbung und (wahrscheinlich schlecht bezahlter) nicht personalisierter Werbung wählen. Google hat hierzu eine Hilfeseite angelegt.
Auch bei nicht personalisierter Werbung werden allerdings Cookies gesetzt. Laut Google werden diese aber nicht verwendet um den Nutzer zu identifizieren, sondern für frequency capping (damit die gleiche Anzeige nicht zu oft ausgeliefert wird), für das Erstellen von Anzeigenberichte und zum bekämpfen von Betrug und Missbrauch (was auch immer das bedeutet). Die nicht personalisierten Anzeigen werden aufgrund der Inhalte der Seite ausgewählt und nicht aufgrund der vermeintlichen Interessen der Besucher.
Tatsächlich wurden mit den personalisierten Anzeigen beim Aufruf von techgrube.de teilweise dutzende Verbindungen zu Werbenetzwerken hergestellt und ebenso viele Cookies gesetzt. Mit den nicht personalisierten Anzeigen werden nur noch Google Adressen aufgerufen. Die Anzahl der Cookies beschränkt sich auf einige wenige.
Unter Datenschutzgesichtspunkten scheint es sich tatsächlich um eine deutliche Verbesserung zu handeln. Ich bin gespannt wie sich die Änderung finanziell auswirkt.
Mit den nicht personalisierten Anzeigen scheint man sich also zwei Dinge zu sparen. Das Auflisten hunderter Werbenetzwerke in der Datenschutzerklärung (auf die Nutzung von Google Adsense muss immer noch hingewiesen werden, schließlich werden Daten an Google übertragen) und das Einholen (und Dokumentieren) einer Einwilligung des Nutzers zur Verarbeitung seiner personenbezogenen Daten.
Es bleibt das Problem mit den anderen Cookies, die aber laut Google nicht dem Nutzertracking dienen. Damit haben wir das gleiche Problem mit Cookies wie vor der DSGVO. Auch hier verlangt Google laut seinen Nutzungsbedingungen das Einholen einer Einwilligung. Dem sind die meisten Seitenbetreiber mit den bekannten Cookie-Warnungen begegnet und Google hat das bisher akzeptiert.
Natürlich werden immer noch Daten an Google übermittelt. So wird natürlich beim Ausliefern von Werbung die IP-Adresse übertragen. Da aber laut Google kein tracking des Besuchers mehr stattfindet, schon gar nicht über mehrere Seiten hinweg, kann dies evtl. über ein berechtigtes Interesse (… am wirtschaftlichem Betrieb unseres Onlineangebotes laut datenschutz-generator.de) gerechtfertigt werden.
Eine Interessenabwägung hat nachweislich stattgefunden und hat zum deaktivieren personenbezogener Anzeigen geführt.
Vertrag zur Auftragsverarbeitung nach DSGVO
Wenn Dritte Daten im Auftrag des Webseitenbetreibers verarbeiten, muss mit diesen ein Vertrag zur Auftragsverarbeitung geschlossen werden. In den meisten Fällen ist das mindestens der Webhoster, evtl. auch Google, bei der Verwendung von Google Analytics oder der Emailanbieter.
Die meisten Webhoster haben hierfür mittlerweile standardisierte Verträge erstellt, die nur noch heruntergeladen, unterschrieben und zurückgeschickt werden müssen. Da ich den Webserver selber betreibe werden keine Daten weitergeleitet und der Vertrag ist in diesem Fall nicht nötig.
Ich schließe nur einen Vertrag zur Auftragsverarbeitung mit Domainfactory, über die ich meinen Emailverkehr abwickle.
[UPDATE] Ich habe mich doch entschlossen auch mit Netcup einen Vertrag zur Auftragsverarbeitung abzuschließen. Obwohl ich den Server selbst betreibe, können auch dort personenbezogene Daten verarbeitet werden, z.B. die IP-Adresse zur Abwehr von DDos-Atacken.
Tracking
Zumindest hier bin ich fein raus. Tools wie Google Analytics oder Matomo (Piwik) nutze ich nicht. Ich werte lediglich über Logfiles aus, welche Artikel wie oft aufgerufen werden. Da die Logfiles aber anonymisiert sind, werden auch hier keine personenbezogenen Daten verarbeitet.
Fazit
Ich sehe weder den Datenschutz an sich, noch die DSGVO schwarz-weiß. Das Vereinheitlichen der Datenschutzregelungen in der EU ist überfällig. Auch haben die hohen angedrohten Strafen dazu geführt, dass sich die großen Konzerne tatsächlich mit Datenschutz beschäftigen müssen.
Allerdings sind diese Konzerne eben auch in der Lage dies zu leisten. Ich habe mich wirklich viele Stunden mit dem Thema auseinandergesetzt und vieles geändert. Trotzdem bleibt die Rechtsunsicherheit. Auch ich habe das Gefühl dass man sich mit dem Betrieb einer Webseite auf ein Minenfeld begibt.
Meine größte Angst ist, dass genau dieses Gefühl viele Leute davon abhält ihre eigenen Blogs und Webseiten zu betreiben und stattdessen auf Facebook und Co setzen. Dann wäre durch die DSGVO ein großer Schaden für dieses Internet und den Datenschutz entstanden.
Denn mal ehrlich: die Angabe der eigenen Emailadresse im Kommentarfeld irgendeines Blogs hat keinen nennenswerten Einfluss auf die Privatsphäre. Die Angabe einer Emailadresse bei Facebook, kann aber dazu führen dass auf einmal mehrere Datensätze zusammengeführt werden können und aus Puzzleteilen ein Bild wird.
Das Thema DSGVO wird für Blogger wohl auch nach dem 25.05.2018 noch lange spannend bleiben.
wording translator:
Herausforderung = Problem
spannend = scheiße
sich aus der Verantwortung stehlen = andere in spannende Situationen bringen
Comments are closed.