Bloggen und die DSGVO (Datenschutzgrundverordnung )

Image via www.vpnsrus.com

Dieser Artikel beschäftigt sich ausnahmsweise einmal nicht mit unserem Hobby DSA, sondern mit etwas weltlichem: Der am 25. Mai 2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO). Für Unternehmen ist dies eine wichtige Sache, diese haben allerdings in aller Regel auch eine Rechtsberatung zur Verfügung. Für uns private Blogger ist die DSGVO verwirrend und unter Umständen eine Menge Arbeit, aber genau so wichtig.

Im Folgenden erklären wir euch, was DSAnews.de bisher getan hat, um der DSGVO bestmöglich nachzukommen. Dieser Artikel stellt auch keine Rechtsberatung dar, sondern ist einfach nur eine Zusammenfassung von Themen, die wir angegangen sind.

Accounts auf DSAnews.de

Viele Blogs bieten die Möglichkeit an, dass User sich registrieren können um am Geschehen teilzuhaben. Eine Registrierung speichert aber auch Daten, also haben wir uns überlegt, ob dies wirklich bei uns notwendig ist. Das Ergebnis war nein, ist es nicht. Alle Funktionen können auch ohne einen Account genutzt werden, also auch das Kommentieren von Artikeln. Daher haben wir die Möglichkeit sich bei uns zu registrieren deaktiviert.

Speichern von IP Adressen bei Kommentaren

Standardmäßig speichern Systeme wie WordPress die IP Adressen derer, die einen Kommentar zu einem Artikel hinterlassen. In unserem Fall ist das ebenfalls nicht “systemrelevant”, haben wir beschlossen. Daher wurden zum einen alle IPs vergangener Kommentare aus unserer Datenbank gelöscht, zum anderen verzichten wir zukünftig darauf, die IPs bei neuen Kommentaren zu erfassen & speichern.

SSL Verschlüsselung

Es wird nicht vorgeschrieben, eine solche zu haben, allerdings ist die geforderte sichere Datenübertragung ohne auch nicht möglich. Eine Datenübertragung kommt z.B. zustande, wenn ihr ein Formular ausfüllt, oder einen Kommentar verfasst. Daher nutzen wir bei DSAnews.de seit Start des Blogs ein Zertifikat von Let’s Encrypt.

Sicherheitssysteme

Wir hatten in der Vergangenheit verschiedene Systeme im Einsatz, um uns gegen Angriffe von außen zu schützen. Eines haben die meisten dieser Systeme gemeinsam, sie setzen auf Blacklists, also dezentral angelegte Datenbanken, in denen bekannte Spamer verzeichnet sind. Diese Tools gleichen dann bei einem Zugriff auf bestimmte Bereiche des Blogs die Daten des Angreifers mit dieser externen Datenbank ab. Das ist mit der neuen DSGVO leider nicht problemlos machbar, da der Angreifer – man höre und staune – erst in diesen Abgleich einwilligen müsste. Macht er vermutlich nicht – und greift dennoch an. Daher nutzen wir nun mit Spambee ein Tool, in dem man diese Option des Abgleichs komplett deaktiviert hat. Leider kommen so mehr Spamattacken durch, die vorher von vornherein geblockt wurden. Sichtbar wurde davon für die Leser bisher aber noch kein Beitrag.

Statistiken & Analyse

Für Blogs ist es nicht nur ein die Neugier befriedigendes Gimmick, Statistiken über die Leser des eigenen Blogs zu erhalten. Es ist wichtig zu sehen, was wie oft gelesen wurde um zum Beispiel feststellen zu können, welche Themen die Leserschaft eher interessieren und welche weniger. Bisher haben wir, wie Millionen andere Blogs auch, das WordPress eigene Plugin Jetpack dafür genutzt. Dieses verbindet sich allerdings auf seine Server, was problematisch ist. Daher haben wir Jetpack deaktiviert und nutzen nun eine Möglichkeit, die nur unsere lokalen Serverlogs auswertet. Dabei werden die IP Adressen komplett anonymisiert. Geodaten erhaben wir demnach auch keine.

Cookie Hinweis & Verlinkung der Datenschutzerklärung

Nicht ganz klar ist, wie mit diesen nervigen kleinen Hinweisen auf das Setzen von Cookies umzugehen ist. Spätestens mit inkrafttreten der ePrivacy Richtlinie in 2019 wird dies aber wohl verpflichtend sein. Mehr noch, dann ist es wohl unumgänglich dass die User nicht nur ein Popup mit Infos erhalten, sondern explizit ihr Einverständnis geben müssen und darüber hinaus eine Opt-Out Möglichkeit haben.

Die Datenschutzerklärung soll mit einem Klick von überall erreichbar sein, daher haben wir diese, wie allgemein üblich, nun unten Links im sogenannten Footer verlinkt und aus dem “Über uns” Menü entfernt.

Gravatar, Emojis & Co

Externe Dienste wie Gravatar sammeln Daten von den Usern, nur um einen Avatar nutzen zu können. Da dies unnötig ist, haben wir das deaktiviert. Genau so deaktiviert haben wir Emojis. Die Auslieferung dieser hat WordPress auf ein CDN (Content Distribution Networks) ausgelagert, welches natürlich Daten sammelt, daher sind auch diese bei uns nun deaktiviert.

Liken, +1, Twittern

Auch bei den üblichen Möglichkeiten der verschiedenen Like Buttons zu Artikeln versuchen die jeweiligen Anbieter natürlich jede Menge Daten zu erhalten. Dies unterbinden wir, in dem wir die Shariff-Lösung vom Heise Verlag einsetzen. Mehr Details dazu gibt es hier. Das Widget mit den Angaben DSAnews.de hat soundsoviele Follower bei Facebook & Twitter haben wir erst einmal entfernt, bis wir da eine besser Lösung gefunden haben.

Google Fonts

Auch die Webtypografie ist von der DSGVO betroffen, da die so genutzten Schriftarten von einem CDN in den Cache des Nutzers geladen werden. Das unterbinden wir zukünftig, indem wir unseren Blog entsprechend umbauen und die von uns genutzten Schriftarten dann lokal abrufen.

Bilder

Um die Performance für den Leser zu optimieren, haben wir in der Vergangenheit ein CDN genutzt um Artikelbilder, Galerien etc. auszuliefern. Dies geschieht nun lokal.

Das war es im ersten Schritt erst einmal. Wenn ihr als Blogbetreiber nun Fragen habt, wie man genau was umsetzen kann und welche Tools geeignet sind – oder welche nicht – so lasst es uns wissen, wir helfen gerne!

Wir hoffen, dass dieser Artikel dem einen oder anderen hilft, seinen Blog ebenfalls bestmöglich vorzubereiten!

 

Hinterlasse eine Antwort

Deine Email-Adresse wird nicht veröffentlicht.

2 Kommentare
  1. Queery sagt

    Schön hört sich ganz schön aufwendig an euer Umbau. Aber für mich als Nutzer ist es natürlich schön zu wissen, dass viel unsinnige Datensammellei einfach unterbleibt.

    1. Zorni sagt

      Es geht eigentlich. Das Umsetzen selbst ist nicht so der große Aufwand. Darüber nachzudenken, was wann wie und warum an Daten erzeugt wird und ob man diese wirklich braucht und dazu die Recherche waren hingegen sehr große Zeitfresser.