Panik macht sich in der Bloggerwelt breit, die neue DS-GVO entfaltet am 25.05.2018 seine Wirkung und man spürt förmlich die Unsicherheit unter den WordPress-Nutzern. Doch was bedeutet das Ganze nun tatsächlich?

Disclaimer: Es handelt sich bei diesem Beitrag nicht um eine Rechtsberatung, zu der ich weder befähigt, noch bemächtigt bin. Es handelt sich um persönliche Sichtweisen und Ansätze, die  keinen Anspruch auf sachliche Richtigkeit oder Vollständigkeit erheben. Fachliche Fragen sollten in jedem Fall mit einem Rechtsanwalt besprochen werden.

Bei der Datenschutz Grundverordnung handelt es sich um ein EU-Gesetz, welches unmittelbar in allen Mitgliedsstaaten Anwendung findet. Es dient dem Schutz der persönlichen Daten der Nutzer von Internetseiten (gute Sache) und stellt eine Menge, zumindest auf den ersten Blick, Anforderungen an die Seitenbetreiber (blöde Sache). Was derzeit gern übersehen wird: Die Grundverordnung ist bereits 2016 in Kraft getreten, der 25. Mai ist lediglich der Stichtag, an dem sich die Wirkung entfaltet – und zwar ohne Übergangsfristen oder Milderungsgründe. Soll heißen: Die Panik, die jetzt um sich greift, ist in erster Linie darauf zurückzuführen, dass viele Seitenbetreiber

a) zu spät von der DS-GVO erfahren haben oder
b) zwar davon wussten, sich aber erst jetzt ernsthaft damit auseinandersetzen

Die Fülle an Informationen, die derzeit durch die Weiten des WWW mäandert, ist schwer zu überblicken und teilweise auch recht widersprüchlich. Was ich für mich daraus gezogen haben, folgt jetzt.

Datenschutzerklärung

Eigentlich der einfachste Punkt, aber gern übersehen: Die Datenschutzerklärung sollte zum 25.05. unbedingt noch einmal überarbeitet und aktualisiert werden. Sie muss von jeder Seite des Blogs aus und unabhängig vom Impressum erreichbar sein. Kurz: Impressum und Datenschutzerklärung müssen auf zwei verschiedenen Unterseiten zu finden und mit maximal zwei Klicks von jeder Blogseite aus erreichbar sein. Das führt auch zu einem weiteren Problem. Wer, wie ich, die Links zu Impressum und Datenschutzerklärung in den Footer der Seite gepackt hat und zeitgleich das vom Jetpack mitgebrachte mobile Theme nutzt, wird die Footer-Links nicht haben. In solchen Fällen sollte nach einem alternativen Theme gesucht  oder, wie in meinem Fall, die Funktionalität im Jetpack deaktiviert werden.

Eine pauschale Aussage zum Inhalt zu treffen ist schwierig, denn neben den internen Komponenten des WP-Kerns sammeln auch etliche PlugIns und Dienstanbieter persönliche Daten. Empfehlenswert für die Erstellung der Datenschutzerklärung finde ich den Generator von RA Thomas Schwenke oder eRecht24. Ich bevorzuge ersteren, da eRecht24 mittlerweile viele Unterpunkte des Generators als kostenpflichtige Premium-DropIns anbietet. Ich würde empfehlen, den Generator der Wahl kurz vor dem Stichtag noch einmal durchlaufen zu lassen, denn zumindest Thomas Schwenkes’ Tool ist derzeit – auf Grund der DS-GVO – in der Überarbeitung.

Es muss beachtet werden, dass die Datenschutzerklärung von der Stange abhängig von den im Blog verwendeten Plugins gegebenenfalls noch erweitert und umgestellt werden muss. Leider kann ich an dieser Stelle auf die eventuell nötigen Änderungen nicht weiter eingehen.

Google Fonts

Für viele Blogger das wohl größte Problem stellen die Google Fonts dar. Nach aktueller Rechtslage ist die Einbindung über die Google Server (die IP-Adresse des Besuchers wird ohne dessen Einwilligung übertragen) nicht zulässig. Blöd, denn gerade die Fonts sind es doch, die einem Blog seinen eigenen Stil geben. Bevor man nun die Pferde wild macht, sollte man zunächst schauen, ob das gewählte Theme überhaupt auf die Schriftarten des Internetriesen setzt (das von mir verwendete ComicPress bringt zum Beispiel die verwendeten Schriftarten mit und installiert sie auf meinem Webspace). Man kann aber leicht herausfinden, ob das Theme die Fonts nutzt. Chrome bietet hierfür die Option “Untersuchen” im Kontext-Menü. Es öffnet sich ein zusätzliches Fenster, in dem man auf den Punkt “Sources” klickt und dann ganz übersichtlich aufgelistet bekommt, welche Codes aus welchen Quellen ausgeführt werden.

Für uns ist im Moment der Punkt “fonts.googleapis.com” interessant. Er weist deutlich darauf hin, dass Google Fonts verwendet werden. Böse. Ein Klick auf den grauen Pfeil vor der URL öffnet nun einen weiteren Unterpunkt, der uns zeigt, dass die Beispielseite die Schriftart Roboto verwendet. Das funktioniert natürlich auch mit eurem Theme und sagt euch, welche Schriftart ihr braucht, um die Gestaltung eures Blogs nicht maßgeblich verändern zu müssen. Diese Schrift müsst ihr nun also auf euren Server bringen und dann manuell in den Code einbinden. Eine sehr gute und verständliche Anleitung dazu findet ihr zum Beispiel bei den Netzialisten.

Google Analytics, Matomo (Piwik), WPStats und Co.

Statistiken sind toll. Sie zeigen auf den ersten Blick, wie viele Klicks aus welchem Land zu welcher Zeit von welchem System … und so weiter. Auf der anderen Seite sind die Statistiken aber auch fiese Datenschleudern, denn im Endeffekt werden die Daten eurer Besucher komplett an die Server des Anbieters eurer Wahl übertragen.

Google Analytics scheint mir dabei noch das kleinste Übel zu sein. Es besteht die Möglichkeit, die IPs einkürzen zu lassen, was nach aktuellem Stand ausreichend ist, um die Datenschutzrichtlinie zu erfüllen. Voraussetzung ist aber in jedem Fall, dass ihr dazu einen ADV (Auftragsdatenverarbeitungs)- Vertrag mit Google abgeschlossen habt. Was derzeit noch umständlich per Post passieren muss, soll in Kürze, ähnlich wie in Österreich, aber über einen einfachen Klick im Benutzerkonto erledigt werden können.

Die WordPress-Statistiken sind da schon ein anderer Schnack, denn sie sind für den US-Markt konzipiert und nach (aktuellem) deutschem Recht nicht mehr zulässig. Zwar bietet auch das Jetpack mittlerweile die Möglichkeit, IPs zu kürzen und mit WP Statistics besteht auch die Möglichkeit, sie in Hash-Codes umzuwandeln. Ob das grundsätzlich ausreichend ist oder nicht vermag ich jedoch nicht zu sagen. Mit WP Do Not Track gibt es ein weiteres Plugin, welches das Tracking angeblich vollständig unterbindet, aber auch hier: Ob das ausreichend ist, kann ich nicht mit Gewissheit sagen. Zudem ist es, zumindest nach meinem Kenntnisstand, nicht möglich, einen ADV-Vertrag abzuschließen, der die Nutzung von WPStats im europäischen Raum erlauben würde.

Matomo, vormals als Piwik bekannt, ist eine Lösung, die auf dem eigenen Server installiert wird und somit keinerlei Daten an einen Drittanbieter verschickt. Die Auswertung erfolgt lokal und mit eingeschalteter Anonymisierungs-Option auch datenschutzkonform. Der Nachteil ist die Eingewöhnungszeit, wenn man bisher ausschließlich auf Onboard-Lösungen oder Google Analytics gesetzt hat. Außerdem muss für Matomo eine freie Datenbank vorhanden sein. Dafür entfällt aber der Abschluss eines ADV-Vertrages. Für technikaffine User also sicherlich eine Alternative zu den Datenschleudern von Google und Automattic.

Dann gibt es noch das schlanke Plugin Statify. Keine Datenspeicherung, anonyme IPs und ganz schnell über das WordPress-Frontend installiert. Wer sich also nicht lange in ein neues System einarbeiten möchte und mit Statistiken leben kann, die nicht über jede Minute im Leben des Besuchers Aufschluss geben, ist mit dieser Lösung besser beraten und immer noch auf der sicheren Seite.

Falle Social Media

Kaum ein Blog kommt ohne Social Media Buttons daher. Was grundsätzlich nicht schlecht ist, kann sich aber zu einer fiesen Falle entwickeln, wenn einige der offiziellen Buttons genutzt werden, denn schon beim reinen Besuch der Seite fangen einige dieser Plugins an, nach Hause zu telefonieren. Soll heißen: Auch ohne Aktion des Besuchers wird eine Verbindung zu beispielsweise Facebook oder YouTube hergestellt und persönliche Daten übertragen. Das ist alles mögliche, aber nicht im Sinne des Datenschutzes. Für Twitter, Google Plus, Facebook & Co. gibt es ein handliches Tool namens Shariff Wrapper, der die beliebten Share-Buttons datenschutzkonform umsetzt. Entwickelt wurde das Plugin übrigens von der Computerzeitschrift c’t und unterstützt derzeit über 20 soziale Netzwerke.

Eingebundene YouTube-Videos sind da schon etwas schwieriger zu handhaben. Gemeinhin werden sie einfach über die WordPress-eigenen Shortcodes eingebunden. Was in der ersten Anwendung einfach und unkompliziert ist, entwickelt sich aber zu einem Datenschutzproblem, da auch die Videos bereits Daten an die Plattform senden, noch bevor der Besucher sie aktiv ansieht. Noch viel schlimmer: Ohne es zu wissen, hat man mit der Einbindung des Videos einen Tracker für das Werbenetzwerk DoubleClick eingebaut, der fröhlich nach Hause telefoniert. Das Chrome-Addon “Ghostery” zeigt es schwarz auf weiß (Screenshot aus meiner Rezension zu “300: Rise of an Empire”).

Eine Lösung könnte der erweiterte Datenschutzmodus von YouTube sein. Der ist gut versteckt. Klickt man unter einem Video zunächst auf “Teilen” und dann auf “Einbetten”, muss man zunächst die Auswahlliste komplett nach unten scrollen, bis man schließlich ein Häkchen beim “Erweiterten Datenschutzmodus” setzen darf. Bindet man das Video nun mit dem zur Verfügung gestellten iFrame in die Seite ein, lassen sich mit “Ghostery” keine Tracker mehr feststellen. Allerdings bedeutet das nicht zwangsläufig, dass hier gar keine persönlichen Daten mehr an YouTube übertragen werden. Denn startet der Besucher das Video über den Playbutton, wird unmittelbar eine Verbindung zu DoubleClick und zu Adsense aufgebaut. Und zwar, ohne dass der Anwender darüber informiert wird. Damit ist der “erweiterte Datenschutzmodus” eine ziemliche Mogelpackung, die nicht konform zur DS-GVO ist. Ich tendiere derzeit dazu, die Trailer in meinen Filmbesprechungen entweder komplett zu entfernen oder sie maximal als Textlink in der Rezension einzubauen. Schöner wäre zwar ein statisches Vorschaubild, allerdings ist das wohl aus urheberrechtlicher Sicht problematisch.

Das soll es für heute auch erstmal gewesen sein. Im zweiten Teil des Artikels werde ich die Funktionen des Jetpacks etwas genauer unter die Lupe nehmen, darauf eingehen wie man Kommentare und Kontaktformulare absichern kann und was es beim Einsatz von Backup- und Security-Plugins zu beachten gibt.

 

Sebastian

Ich bin hier auf dem Blog zuständig für alles, bei dem es ordentlich knallt und bei dem eine Menge Blut fließt. Soll heißen, mein Fokus bei Filmen und Büchern liegt auf Action, Thrillern und Horror. Davon ab bin ich aber auch anderen Genres nicht abgeneigt, SciFi und Fantasy findet sich ebenso wie eher ruhige Titel unter meinen Favoriten.

Letzte Artikel von Sebastian (Alle anzeigen)