DSGVO
Die Datenschutzgrundverordnung (DSGVO) ist derzeit in aller Munde, da sie nach einer Übergangszeit von zwei Jahren am 25.05.2018 nun endgültig in Kraft getreten ist. Was die DSGVO im Detail ist, will ich hier nicht weiter thematisieren. Da findet man genug Infos im Web. Auch eine Bewertung erspare ich mir. In diesem Artikel will ich nur kurz festhalten, welche Änderungen ich gemacht habe, um meine kleine Webseite möglichst DSGVO-konform zu gestalten.
Derzeit habe ich das alles auf Basis von Infos gemacht, die ich selbst zusammentragen konnte. Also ohne Rechtsbeistand. Aber ich denke, damit stehe ich Großen und Ganzen gut da.
Die folgende Auflistung folgt keinem speziellen Prinzip, sondern ist einfach willkürlich angeordnet.
Datenschutzerklärung aktualisiert
Die Datenschutzerklärung war schon immer Pflicht, jedoch wird ihr jetzt eine noch bedeutendere Rolle zuteil. Daher habe ich sie überarbeitet und nach Vorgaben der neuen Richtlinien aktualisiert. Generiert habe ich die Datenschutzerklärung mithilfe der Webseite https://datenschutz-generator.de/. Dort lassen sich sehr gut einzelne Bausteine auswählen, die auf die eigene Webseite zutreffen.
Update auf WordPress 4.9.6 installiert
Pünktlich zum Stichtag ist ein Update für WordPress erschienen. Die Version 4.9.6 enthält einige Anpassungen für die DSGVO und sollte natürlich installiert werden. Dort bekommt man z.B. neue Werkzeuge, um personenbezogene Daten bestimmter User zu exportieren oder zu löschen. Das ist hilfreich, da nach DSGVO diese Möglichkeit für jeden Nutzer gegeben sein muss. Weiterhin gibt es neue Optionen zur Datenschutzerklärung und eine Checkbox unter dem Kommentarfeld, über die man anwählen kann, ob die Daten für spätere Kommentare gespeichert werden sollen – Stichwort Cookie.
Update des Avada-Themes auf Version 5.5.2
Auch für mein Theme Avada gab es ein DSGVO-bezogenes Update mit einigen sinnvollen und tollen Neuerungen. So lassen sich die in der Regel genutzten Google Fonts nun auf dem lokalen Server herunterladen und sie müssen nicht mehr immer vom Google-Server geladen werden (wobei dann Daten übertragen werden).
Super ist auch die Möglichkeit, eingebettete Elemente von Drittanbietern wie z.B. YouTube-Videos etc. standardmäßig zu deaktivieren. Stattdessen sieht man zunächst nur einen Platzhalter. Man muss zunächst damit einverstanden sein, dass beim Betrachten des Elements Daten an Fremde gesendet werden. Erst dann wird das Element eingeblendet. So werden nicht mehr ungewollt Daten an Dritte gesendet. Natürlich habe ich diese Option direkt aktiviert.
Und zu guter Letzt kann man beim Kontaktformular nun eine Checkbox einblenden, über die der Leser erst bestätigen muss, dass er die Datenschutzerklärung gelesen hat und damit einverstanden ist. Dazu unten mehr.
IP-Adressen der Kommentare
Wenn jemand etwas kommentiert, wird die IP-Adresse automatisch gespeichert. Das muss sie auch, für den Fall, dass man Kommentare bekommt, die strafrechtlich relevant sind, um das dann weitergeben zu können. Standardmäßig speichert WordPress die IP-Adresse dauerhaft, was aber nicht notwendig ist. Mittels Plugin werden die IP-Adressen jetzt bei mir nach zwei Monaten gelöscht.
Cookie-Bar
Die Cookie-Bar ist schon lange Pflicht. Der Besucher der Seite muss darüber informiert werden, dass ein Cookie gespeichert wird. Bisher hatte ich nur die Info. Wenn man weiter auf der Seite geblieben ist, war man automatisch einverstanden. Mit meiner neuen Cookie-Bar, die natürlich ebenfalls mithilfe eines Plugins umgesetzt wird, hat man nun auch die Möglichkeit, das Speichern eines Cookies zu verhindern und trotzdem auf der Seite bleiben. Dann kann es aber sein, dass vielleicht diverse Elemente nicht korrekt angezeigt werden.
Außerdem kann man eine erteilte Cookie-Zustimmung auch widerrufen.
Herunterladen und Löschen von persönlichen Daten
Wie oben geschrieben bietet WordPress ab der Version 4.9.6 eingebaute Funktionen zum Export und Löschen von Benutzerdaten. Dafür gibt es jedoch standardmäßig keine sichtbare Seite für Leser. Diese müssen eine Anfrage per E-Mail senden, worauf man als Betreiber der Seite dann selbst tätig werden muss. Sprich es handelt sich um eine reine Backend-Lösung. Mithilfe von Plugins lässt dich das aber auch über eine Seite automatisieren. Ich habe dazu das Plugin „The GDPR Framework“ installiert. Dann wird automatisch eine Seite erstellt, die man veröffentlichen und verlinken kann. Über diese Seite kann man dann mittels eigener E-Mail-Adresse alle Daten anfordern, die je auf der Seite gespeichert wurden und noch vorhanden sind oder auch einfach direkt alle Daten löschen. Die Privatsphäre-Tools sind bei mir über den Footer immer zu erreichen.
Nach Eingabe der E-Mail-Adresse und Absenden der Anfrage bekommt man einen Link per Mail zugeschickt. Klickt man auf diesen Link kommt man auf eine Seite und kann dort seinen Daten herunterladen und auch gegebenenfalls löschen.
Bestätigung beim Kontakt-Formular
Möchte man über diese Webseite mit mir in Kontakt treten, bietet sich das Kontakt-Formular an. Dort muss man auch seine E-Mail-Adresse angeben, die natürlich an mich übermittelt wird. Ist ja auch sinnvoll, wenn ich antworten soll. Da es sich hier aber um persönliche Daten handelt, die gespeichert werden, müssen die Benutzer dort erstmal eine Checkbox anwählen, dass sie mit der Speicherung der Daten einverstanden sind.
Bestätigung beim Kommentieren
Ähnliches gilt für das Kommentieren. Auch dort werden Daten gespeichert. Und auch hier muss vor dem Absenden des Kommentars erst per Checkbox bestätigt werden, dass man mit der Speicherung der Daten laut Datenschutzerklärung einverstanden ist.
Umstellung auf https
Ich hatte https schon länger aktiv, aber bisher war es nicht standard. Mit der DSGVO muss zwingend dafür gesorgt werden, dass zumindest das Kontaktformular über eine gesicherte Verbindung laufen muss. Also ist jetzt die komplette Seite standardmäßig auf https umgestellt. Macht sich auch gut in den Google-Suchergebnissen.
Diverse Dienste deaktiviert
Für alle Daten, die andere Anbieter über die Webseite erheben, müssen Verarbeitungsverträge abgeschlossen werden. Daher habe ich ein paar Dienste einfach deaktiviert.
- Google Analytics:
Website-Statistiken sind schon toll. Es ist nett zu sehen, welche Beiträge beliebt sind und entsprechend oft aufgerufen werden. Oder auch, wo die Leser herkommen. Aber es ist für mich kein Must-have. Ich hatte das lange gar nicht aktiv und konnte damit gut leben. Google bietet eine Vorlage für einen Vertrag an. Den muss man nur ausfüllen und an Google schicken. Also kein großer Akt. Trotzdem wollte ich das erstmal nicht machen und habe Google Analytics daher deaktiviert. - Gravatar:
Mithilfe von Gravatar kann man Profilbilder in den Kommentaren nutzen. Diese werden automatisch geladen und angezeigt, wenn es ein Gravatar-Profil mit der E-Mail-Adresse des Users gibt. Vielleicht ganz nett, aber für mich nicht wichtig. Außerdem gibt es bei mir nur wenig Kommentare. - Antispam Bee:
Klar, ein Spam-Filter, der Kommentare direkt filtert, ist generell sinnvoll. Aber die Kommentare werden halt erstmal von einem anderen Dienst „gelesen“, es fließen also Daten woanders hin. Da mein Blog so klein ist, habe ich kaum Spam-Kommentare. Daher deaktiviert. - Sharing-Buttons:
Sharing-Buttons sind natürlich beliebt, erleichtern sie es doch enorm, einen Artikel direkt bei Facebook, Twitter etc. zu teilen. Aber auch hier werden dann Userdaten ausgelesen und an Dritte gesendet. Teilen der Beiträge ist ja trotzdem möglich, erfordert eben nur ein paar Klicks mehr. Datenschutz ist mir wichtiger als ein bisschen Komfort.
Das war also die Übersicht über die von mir in Anbetracht der DSGVO vorgenommenen Änderungen. Damit sehe ich mich eigentlich gut aufgestellt. Alles Weitere lasse ich dann mal auf mich zukommen …