Auf der Blogfamilia hat Maret Buddenbohm gesagt, man soll über das bloggen, was man gerne bei anderen lesen würde. Sie hätte tagelang ein geeignetes Einsteigerhandy für Sohn I gesucht. Hätte man das Ergebnis der Recherche verbloggt, wären hunderte von Eltern glücklich, weil sie sich die Arbeit nicht ein zweites, drittes und hundertes Mal im stillen Kämmerlein machen müssten.
Ich zum Beispiel würde gerne was über die Umsetzung der DSGVO lesen, wenn man ein WordPress-Blog hat und zufällig bei all-inkl.com hostet. Leider hat den Artikel noch niemand geschrieben. Dann muss ich das wohl machen. Deswegen hier der Schrillionste Artikel zum Thema DSGVO und Bloggen.
Ob das, was ich gemacht habe, reicht und ob es gut ist oder gar richtig – keine Ahnung. Könnt ihr nachmachen – für die Folgen müsst ihr aber selbst die Verantwortung übernehmen. Ich bin nur eine Diplom-Psychologin, die ein WordPress-Blog hat.
Es folgt eine Beschreibung für ein einfaches Blog (Privatperson oder Kleinunternehmer) ohne Schnickschnack wie Formulare, Shop oder Newsletter.
1) SSL Zertifikat klicken
Ein SSL Zertifikat habt ihr alle schon. Ich war die letzte. Trotzdem: Wenn man keins kaufen will, kann man sich z.B. über Let’s Encrypt kostenlos eins klicken. All-inkl.com hat dazu einen FAQ-Eintrag verfasst.
Dazu ins KAS einloggen und dann bei „Domain“ auf die SSL Option klicken. Da gibt es drei Reiter – ihr wählt dann den „Let’s Encrypt“-Reiter und klickt das Häckchen und wie von Zauberhand habt ihr in wenigen Minuten ein https. Hui!
Im Podcast Rechtsbelehrung Folge 55 (DSGVO: Datenschutzerklärung FAQ) erläutern Marcus Richter und Thomas Schwenke Minute 33 ff., dass das Encrypt Zertifikat in Ordnung ist. Es gibt auch Seiten, auf denen man prüfen kann, ob das SSL-Zertifikat OK ist (z.B. SSL-trust.com)
(Wen es interessiert: Details zu der Geeignetheit von Let’s Encrypt-Zertifikaten ggü. gekauften und selbstgezeichneten Zertifikaten.)
2) AV-Vertrag mit dem Hoster abschließen
Bei all-inkl.com auch ziemlich einfach. In den Kundenbereich einloggen – da unter „Stammdaten“ den Punkt „Auftragsverarbeitung“ anwählen, alles gut durchlesen, Häkchen setzen. Fertig.
2b) Wenn ihr Google Analytics benutzt: AV-Vertrag mit Google abschließen
Das selbe mit Google machen, wenn man Google Analytics verwendet. Dafür muss man wirklich einen Vertrag 2x ausdrucken, unterschreiben und nach Dublin schicken. Irre. Eigentlich mit frankiertem Rückumschlag. Größtes Problem an der Umsetzung der Anforderungen der DSGVO bislang – denn ich habe keinen blassen Schimmer, wie ich an irische Briefmarken komme. Ich hab den Vertrag also mit einer Brieftaube geschickt. Sie bringt den Durchschlag zurück.
3) Akismet rausschmeißen und anstattdessen Antispam Bee nehmen
In WordPress zu Plugins navigieren.
Dort den Eintrag zu Akismet suchen – löschen. Danach oben links auf Plugins – Installieren und in der Suche „Antispam Bee“ suchen.
Das entsprechende Plugin auswählen und dann „Jetzt installieren“.
Als nächstes in den Einstellungen sicherstellen: Keine Häkchen an den folgenden Aussagen, da sonst die IP-Adressen an den „Stop Forum Spam“-Dienst weitergeleitet werden bzw. der Kommentartext zwecks Spracherkennung zu Google Translate weitergeschickt wird .
Fertig. Irre! Total einfach.
4) Plugin-Liste bereinigen
Schaut euch eure Plugin-Liste an und schmeißt alles raus, was ihr eigentlich ohnehin nicht benutzt. Ich hab so viel Krempel in meiner Liste gehabt – unglaublich. Wenn ihr unsicher seid – einfach erst mal deaktivieren und schauen, was mit dem Blog passiert. Am besten ein paar Tage. Alles funktioniert, wie gehabt? Deaktiviertes Plugin löschen.
Achso – vorher immer schön Backups machen. Ist klar. Macht man ja immer. Hat jetzt nichts mit den Plugins zu tun, aber Backups sind immer gut.
Macht einen Screenshot von den Plugins, wenn euer Blog perfekt funktioniert. Wenn ihr nämlich aus Versehen etwas löscht, dann könnt ihr es so wie oben bei Antispam Bee beschrieben, einfach wieder installieren. Manche Plugins haben eigene Einstellungen, die einfach auch sichern, dann kann eigentlich nichts passieren.
Mit etwas Glück findet ihr eure verwendeten Plugins auf der Seite „120 WordPress-Plugin im DSGVO-Check (mit Lösungen, Alternativen und Plugin-Tipps!)„, die euch dann sagt, ob ihr sie weiterverwenden könnt oder nicht. Eine zweite, hilfreiche Liste, gibt es bei den WordPress Ninjas.
P.S. Ich habe Jetpack nicht benutzt – falls ihr es aber benutzt – Laura von Heute ist Musik warnt: Wenn ihr Jetpack löscht, gehen alle Abos damit verloren.
5) Wenn ihr Google Analytics benutzt – IP kürzen
Ich habe dafür ein Plugin benutzt (Google Analyticator). Da kann man in den Einstellungen einfach „Anonymize IP Adresses“ auf „Yes“ stellen.
6) Datenschutzerklärung updaten
Dafür den Datenschutz-Generator von Thomas Schwenke nehmen. Dass der Datenschutzhinweis deutlich zu sehen sein sollte, ist irgendwie selbsterklärend.
Sofern es automatisierte Dienste gibt oder geben wird, die nach Fehlern in der Datenschutzerklärung suchen, um dann abzumahnen, kann man das vielleicht ein bisschen erschweren, indem man die Seite mit der Datenschutzerklärung auf „noindex“ setzt. Das geht per Plugin – z.B. „Noindex Pages„. Das ergänzt eine kleine Checkbox rechts oben bei „Veröffentlichen“.
7) Kommentiermöglichkeiten anpassen.
Dazu einen Datenschutzhinweis direkt über das Kommentarfeld einbauen. Schön zu sehen auf der Seite Rechtsbelehrung:
Geht – wer hätte das gedacht – per Plugin. Zum Beispiel: „WP GDPR Compliance“.
7a) Verwendung von Gravatar
Auf diversen Seiten habe ich gelesen, dass man Gravatar nicht benutzen soll. Andere vertreten den Standpunkt (siehe oben), dass man einfach direkt bei der Kommentierungsmöglichkeit auf den Einsatz von Gravatar verweist.
8) Cookie-Hinweis einbauen
Hätte man schon lange machen müssen. Gibt etliche, sehr einfach zu bedienende, Plugins. Ich verwende „Cookie Consent„. Nicht vergessen die URL zu eurem Datenschutzhinweis im Plugin zu hinterlegen und den Text anzupassen. Wichtig! Der Cookie-Hinweis darf den Link zur Datenschutzerklärung nicht verdecken (andere Banner natürlich auch nicht).
9) Indieweb (Punkt nachträglich ergänzt)
Wie ich es verstehe, ist die Indieweb-Funktion durch die Passage der Datenschutzerklärung abgedeckt, die sich mit Onlinepräsenzen in sozialen Medien befasst:
„Beim Aufruf der jeweiligen Netzwerke und Plattformen gelten die Geschäftsbedingungen und die Datenverarbeitungsrichtlinien deren jeweiligen Betreiber.
Soweit nicht anders im Rahmen meiner Datenschutzerklärung angegeben, verarbeite ich die Daten der Nutzer sofern diese mit uns innerhalb der sozialen Netzwerke und Plattformen kommunizieren, z.B. Beiträge auf unseren Onlinepräsenzen verfassen oder mir Nachrichten zusenden.“
D.h. wenn man sich bei z.B. bei Twitter angemeldet hat und Twitter es erlaubt, dass die Likes, Retweets und Replys durch ein anderes System gezogen werden, dann haben die NutzerInnen das dort schon mit einem „OK“ abgenickt.
In der Rechtsbelehrung Folge 55 (DSGVO: Datenschutzerklärung FAQ) befassen sich Marcus Richter und Thomas Schwenke Minute 72 ff. mit dieser Frage. Es wird empfohlen den Einsatz des Indieweb-Plugins mit Verweis auf die Datenschutzbestimmungen von Twitter und Facebook (von wo die Daten gezogen werden) zu erwähnen.
Habt ihr dazu eine andere Interpretation? Discuss!
So ihr Hasen. Das ist was ich bislang gemacht habe. Ich lasse mir gerne mansplainen erklären, was ich falsch gemacht habe und was fehlt. Go for it! Wirklich. Ich bin über weitere Hinweise dankbar. Jedenfalls mindestens solange bis sie mich verunsichern.
Gegen Panik und blinden Aktionismus (schlimmstenfalls in Form von Bloglöschung) empfehle ich Folge 54 ( DSGVO: Alles zur EU-Datenschutzgrundverordnung – Rechtsbelehrung) und Folge 55 (DSGVO: Datenschutzerklärung FAQ) der Rechtsbelehrung.
Wow, das ist mal eine Anleitung! Richtig gut gemacht und super anschaulich – perfekt für alle, die die DSGVO-Pflicht so lange aufgeschoben haben und endlich klar verstehen wollen, was zu tun ist. Dieser „Panik und blinder Aktionismus“-Modus ist wohl bei vielen direkt vor dem Stichtag angesprungen, da kommen solche praktischen Tipps und Anleitungen gerade recht.
Dass man den Vertrag mit Google Analytics per Post nach Dublin schicken muss, ist ja echt der Knaller – aber deine Brieftaube-Lösung ist grandios! ? Vielleicht verbloggt ja bald jemand eine Schritt-für-Schritt-Anleitung für die Taubenzustellung.
The only organization that provides CBSE, NCERT, and State wise board solutions for free, that too online.
So you can get an online test series of NEET and JEE 2020 for free.
CBSE solved paper
The only organization that provides CBSE, NCERT, and State wise board solutions for free, that too online.
So you can get an online test series of NEET and JEE 2020 for free.
CBSE solved paper
Vielen Dank für diesen tollen Beitrag, ich finde ihn sehr interessant und sehr gut durchdacht und zusammengestellt. Ich freue mich darauf, Ihre Arbeit in Zukunft zu lesen.
Vielen Dank für diesen tollen Beitrag, ich finde ihn sehr interessant und sehr gut durchdacht und zusammengestellt. Ich freue mich darauf, Ihre Arbeit in Zukunft zu lesen.
Vielen Dank für diesen tollen Beitrag, ich finde ihn sehr interessant und sehr gut durchdacht und zusammengestellt. Ich freue mich darauf, Ihre Arbeit in Zukunft zu lesen
Post vom Besserwisser:
Ganz gut soweit, aber das doppelte ich kannst du besser ;-))
Ich zum Beispiel würde ich gerne was über die Umsetzung der DSGVO lesen, wenn man ein WordPress-Blog hat und zufällig bei all-inkl.com hostet.
Na gut. Hab ich angepasst. Ich kann auch nicht so gut Kommas setzen. Vielleicht könntest du da mal die letzten 2.000 Texte checken?
Vielen Dank für den Artikel. War sehr hilfreich.
Guten Abend.
Auch mich beschäftigen so einige Fragen, weil ich von Technik bei meinem kostenlosen WordPress-Blog kaum Ahnung habe.
„1) SSL Zertifikat klicken“
Mein Blog hat ein grünes Schloß und eine https://-Adresse.
Muss ich jetzt trotzdem ein SSL-Zertifikat zusätzlich kaufen?
„2) Wenn ihr Google Analytics benutzt…“
Woher weiß ich, dass ich Google-Analytics benutze?
„3) Akismet rausschmeißen und anstattdessen Antispam Bee nehmen“
Würde ich gerne machen, aber Plugins installieren, funktioniert in der Gratisvariante nicht. Also doch aufrüsten auf Kostenpflichtig?
——————
Wahrscheinlich führt mich das zu noch mehr Fragen, und so lange ich nicht weiterkomme, habe ich mein Blog auf Privat umgestellt. Das kann jetzt gar keiner mehr lesen außer mir.
LG
Ulrike
Um ganz sicher zu sein, würde ich mich aber eher an einen Rechtsanwalt wenden. Letztlich zeigt sich hier nur, wer sich mit den Strukturen auskennt. Bleibt nur, dass man darauf baut, dass alles erwischt wurde.
Oder besser an einen qualifizierten Datenschutzbeauftragten, das muss nicht unbedingt ein Anwalt sein.
Ich nutze WP bislang in der kostenlosen Version für einen privaten Blog, also bislang ohne Plugin-Möglichkeiten und ohne dieses all-inkl. Wenn ich das richtig verstehe, kann man den Blog aber ohne Plugins nicht DSGVO-konform machen – es wäre also definitiv notwendig in den Business-Tarif zu wechseln, um überhaupt Plugins installieren zu können und sich rechtlich abzusichern? Das muss ich einfach mal so „blöd“ fragen, ich wußte bislang nicht mal was ein Plugin ist…
So wie ich es verstanden habe, wird WordPress kurzfristig Features zur Verfügung stellen, die es möglich machen auch in der kostenlosen Variante weitgehendst DSGVO-konform zu handeln (was das genau heisst, weiß am Ende ja niemand so genau).
„Ich zum Beispiel würde ich gerne was über die Umsetzung der DSGVO lesen, wenn man ein WordPress-Blog hat und zufällig bei all-inkl.com hostet. “
Der Kracher! Vielen Dank!!!!
Danke für den herrlich unaufgeregten Artikel über dieses Thema!
Auch ich bin derzeit dabei meinen Blog DSGVO-konform zu machen. Und weil ich gerade dafür ghostery installiert habe, hab ich mal deinen neuen „Schalter“ für google analytics in der Sidebar ausprobiert…. nun, was soll ich sagen… ghostery vermeldet, egal was eingestellt ist, dass google analytics aktiv ist. Ist aber kein Aprilscherz, oder?
Liebe Grüsse, Stefanie.
Danke für den Hinweis. Irgendwas funktioniert da nicht wie es soll. Ich arbeite dran.
Also: Das Widget funktioniert nur auf Unterseiten, sprich für https://dasnuf.de/impressumunddatenschutz/ – da hab ich es jetzt getestet.
Insgesamt natürlich trotzdem eine seltsame Anforderung, denn man muss Cookies akzeptieren, um sich einen Cookie zu setzen, der das tracken nicht erlaubt.
Vielen Dank für den aufschlussreichen Artikel.
Lieber Gruß Muriel
Oh nein. Bisher hab ich das noch erfolgreich verdrängen können, aber jetzt direkt bissi Angst, weil ich mal noch so gar keinen Schimmer von Überhaupt nix hab. Ich bin dann wohl mal lesen.
Danke dir! <3!
Die frohe Botschaft: WordPress wird sich mit dem nächsten Update auch einiger der DSGVO Probleme annehmen: WordPress 4.9.6 Beta 1 Adds Tools for GDPR Compliance
Super Artikel, vielen Dank! Die Kombination WordPress und all-ink passt auch bei mir perfekt :)
Eine Frage habe ich aber dazu: nachdem du das SSL-Zertifikat bei all-ink aktiviert hast, hast du für WordPress dann ein Plugin verwendet oder manuell umgestellt? Nur mit dem Zertifikat ist es meines Erachtens ja nicht getan, oder?
Viele Grüße
Carina
Was meinst du denn genau?
Zertifikat klicken. In den Einstellungen bei WordPress die URL anpassen
und ggf. noch das Plugin „SSL Insecure Content Fixer“ einsetzen, um alte Pfade umzuleiten.
Hi @ll,
die DSGVO haben wir doch alle liebgewonnen, oder? Inbesondere wenn man bedenkt, dass es die ePrivacy Verordnung sein wird, die uns erst richtig viiiiiel Spaß machen wird (zumindest nach jetzigem Kenntnisstand).
So, jetzt aber in aller Kürze ein paar Hinweise noch von mir (auch in der Hoffnung, dass ich Vorredner nicht wiederhole)…
1.) Impressum und Datenschutzerklärung als eine Seite ist längst nicht mehr zulässig / zu empfehlen. Das heißt, trenne die beiden bitte und mache jeweils eine Seite für Impressum und eine für die DSE.
2.) Bei der Vielzahl von Cookies und Tracking im BG Deiner Page solltest Du zumindest die Basics beachten. Das heißt, bei Google Analytics muss der OPT-OUT Cookie rein. Der fehlt gänzlich und ist aktuell einer der Top-Abmahngründe. Wichtiger Hinweis: Es gibt unzählige Möglichkeiten mit Generatoren die DSE erstellen zu lassen. Achte bitte unbedingt darauf, dass Du nicht den „Klartext“ einkopierst, sondern im WP-Backend auf Texteditor umstellt und den HTML-Code einbettest. Wahnsinnigerweise funktioniert der OPT-OUT Cookie nämlich in sagenhaften über 80% der WP-Seiten nicht. Und, wer mag es anders denken, einem RA ist es egal, ob Du den Text reingeschrieben hast….Du musst die technische Funktion sicherstellen. Also, halb-richtig kostet trotzdem Geld.
3.) Randbemerkung noch zu den Cookies; Nach heutigem Stand kann (wird) die ePrivacy Verodnung aus dem Cookie Info-Bereich wohl ein Opt-IN machen. Das heißt, dass dann in der Tat der Besucher entscheiden muss, ob er Cookies gesetzt haben will oder nicht. M.E. wird das aber auch sehr kontrovers diskutiert. Ich empfehle aktuell meinen Klienten mit einem Opt-OUT Cookie zu arbeiten. Das heißt, der Besucher kann beim Besuch der Webseite entscheiden, ob er Cookies nutzen möchte oder nicht. Heute (also am 11.05.2018) geben wir dem Besucher hiermit zwar etwas mehr Spielraum als wir zusichern müssten, hat in meinen Augen aber mit transparenz und idealistischen Datenschutz zu tun. Und – über diesen Weg ergeben sich auch neue / andere Möglichkeiten der Monetarisierung … Strickt nach dem Motto: Think Global – Act Local…
Lange Rede. Kurzer Sinn.
Meine Vorredner haben die wesentlichen Dinge schon gut umrissen. Du solltest aber die großen Angriffspunkte noch beheben. Also Impressum und Datenschutz trennen und das Opt-Out in die DSE reinmachen.
P.S. Die notwendige Einwilligung bei einem Kontaktformular bedarf dem expliziten Hinweis, dass der/die Datenverarbeitung für die Zukunft widersprochen werden kann. Dem Grunde nach sollte das auch für Kommentare gelten, oder? Ich meine, in Deiner Einwilligungs-Erklärung klärst Du zwar darüber auf, dass Pseudonyme verwendet werden können, Du lässt damit aber auch letztlich zu, dass jemand seine persönlichen Daten als „Komentator“ hinterlässt. Heißt, faktisch wäre die Speicherung von personenbezogenen Daten möglich und auch denkbar. Würde ich an der Stelle auch noch mal prüfen…wobei, wer will schon päbstlicher sein als der Pabst, oder? ;-)
Viele Grüße
Andreas
Vielen Dank für die Hinweise. Allerdings schon bei 1: Ich bin mir sicher, dass man das zusammen machen kann, solange man eben an der Linkbezeichnung sieht, dass es beides ist.
Das ist leider nicht so. Du darfst Die DSE nicht mit anderen Erklärungen mischen…
Eine Einwilligung für ein Formular ist eine nicht so schöne Idee, nimm als Rechtsgrudlage lieber die Interessensabwägung nach Art. 6 Abs. 1 lif f DSGVO. Da gibt es zwar auch ein Widerspruchsrecht, aber das ist nicht direkt.
Wenn man bedenkt, das diese Nummer nur entstanden ist – damit die Regierung keine GeEfahr mehr läuft manipuliert zu werden, ist das ein Piratenstück der Meisterklasse an der Bevölkerung..
Regierung klagt gegen Großkonzerne wie Google oder Facebook (Zu unsicher, zu teuer, dauert ewig, Regierung platt bevor Gerichtsentscheidung)..
Regierung erlässt Gesetz und zwingt Bürger sich anzupassen auf eigene Kosten ((effektiv, schnell, und Sicherheit das man immer was findet zum bestrafen)Macht, Macht nix, und weitere Beschneidung der Rechte, Keine Kosten um die Großen und Kleinen zu schädigen)
Gesetz wird einfach erst mal so in die Welt gesetzt, das keine klare Richtung erkennbar ist, wird dann mit nachfolgenden Urteilen bei Gericht ausgesessen – Am End zahlt schon einer – in diesem Fall wir (Wer auch sonst).
Wer nicht gehorcht, der zahlt, wer gehorcht zahlt sowieso, wer nix verstanden hat – zahlt erst recht.
Somit ist jetzt erklärt, was das damit auf sich hat…
Die EU ist damit einer der besten Bürgermelkmaschinen, die jemals für Doofe erfunden wurde.
Aber wisst Ihr was – Merken tut Ihr erst was läuft, wenn Ihr alt seid und euch nicht mehr wehren könnt. Und das fatale daran ist – jeder wird alt und bis dahin liebe Jungens und Madels zahlt Ihr Länge mal Breite für jeden Schritt in eine neue von Europa verordnete Zukunft….
Und es gibt übrigens tatsächlich ein Word Press Plugin für den ganzen Krempel – aber jetzt komme erst einmal die Testphase, wie viel man die Leute mit Abmahnungen ausbeuten kann, bevor einzelne Richter hier mal hinterfragen, ob das überhaupt zulässig ist, das man uns einen Europäischen Melkschemel unter den Hintern setzt…
Wünsche allen schönes WE
kasi
Ich finde es immer wieder interessant, wie sich alle auf die Nebenschauplätze stürzen. Bis auf ein paar Kleinigkeiten (z. B. 2b, das ist die alte Version der Auftragsdatenverarbeitungsvereinbarung mit Google, die nützt ab 25.5. nicht mehr wirklich) ist das im Post Geschriebene sicher sinnvoll. Plugins aus seinem Blog rauszuwerfen, ist in fast allen Fällen nicht notwendig, auch wenn irgendwelche Tools etwas anderes behaupten. Ihr müsst nur richtig über die Verwendung der Plugins im Datenschutzhinweis informieren.
Die eigentliche Herausforderung für alle ist aber die Dokumentation, die man zukünftig aufgrund der Rechenschaftspflicht haben muss.
Wer also denkt, mit ein paar Änderungen in seiner WordPress-Installation und einem Datenschutzhinweis aus dem Generator (ich kenne zurzeit keinen Generator, der das vernünftig macht) ist alles getan, der irrt sich leider gewaltig. Was man alles außerdem noch machen „darf“, findet ihr z. B. hier: http://dsgvo.expectit.de
Nur so als kleiner Tipp aus der Praxis, das was im Post steht, habt ihr wahrscheinlich in einer Stunde erledigt, für die Dokumentation sollte ihr euch 1-2 Tage Zeit nehmen.
Es ist aber sicher eine gute Idee, einen neuen Datenschutzhinweis auf die Webseite zu setzen, das ist sonst leider ein weites Einfallstor für die Abmahner. Da ist einer aus dem Generator zwar meist nicht perfekt, aber besser als gar nichts.
Der unter 2b verlinkte Vertrag ist der Vertrag, den ich auch auf allen möglichen Anwaltsseiten gesehen habe. Welcher ist denn der korrekte?
Plugins rauswerfen ist schon sinnvoll. Nicht nur im Sinne der DSGVO – oft probiert man irgendwas aus und nutzt die Funktion dann eigentlich gar nicht. Klar kann man das alles in die Erklärung aufnehmen – übersichtlicher für alle ist es dennoch nur das zu verwenden, was man wirklich braucht.
Das ist eine alte Vereinbarung gemäß BDSG (siehst Du schon am Datum, 2016 erstellt). Kleiner Tipp: Wenn Auftragsdatenverarbeitung drüber steht ist das ein alter Vertrag, neu heisst das nur noch Auftragsverarbeitung (ohne „daten“). Eine aktuelle Vereinbarung gemäß DSGVO schließt Du einfach im Backend von Deinem Google-Acount ab. Das Schrifterfordernis (Papierform) ist durch die DSGVO entfallen. Die DSGVO hat also auch Erleichterungen parat…
Ich hab es überall genau umgekehrt gelesen. Die Onlineversion sei nicht mehr ausreichend, man müsse jetzt ausdrucken und per Post dahin schicken.
Du meinst also den Zusatz im Google-Analytics-Backend?
Sorry hab Deine Frage erst jetzt gesehen. Im Google-Analytics Backend anmelden, auf Kontoeinstellungen klicken. Ganz unten findest Du den Abschnitt „Zusatz zur Datenverarbeitung “ (nur wenn Du laut Deiner Adresse in der EU lebst). Rechts unten findest Du unter „DETAILS ZUM ZUSATZ ZUR DATENVERARBEITUNG VERWALTEN“ den Link zur Verwaltung.
Denk dabei auch gleich dran unter Verwaltung > Property > Tracking-Informationendie Speicherdauer auf eine vernünftiges Mass zu begrenzen.
Hallo! Vielen Dank für die schön aufbereitete Liste. ich habe allerdings ein Problem: Will ich Plugins aktivieren oder deaktivieren, werde ich darüber informiert, dass dafür der Business-Tarif notwendig sei. Ich habe keine Liste, über die ich Plugins aktivieren oder deaktivieren kann. Bin aber ganz sicher nicht bereit, monatlich über 20 Euro für den Business-Tarif zu zahlen. Glaube mich zu entsinnen, dass ich früher durchaus eine Liste hatte und Plugins aktivieren/deaktivieren konnte. Erinnere ich mich da falsch, und ihr habt, was ich mir nicht vorstellen kann, alle den Business-Tarif? Oder ist bei mir irgendwas kaputt? Oder haben die da gerade eine haarsträubende Neuerung vorgenommen? Oder bin ich spontanverblödet und weiß nicht mehr, was ich tu?
Würde mich sehr freuen, wenn mir dazu jemand etwas sagen kann, und sei es nur: „Habe keinen Business-Tarif und kann Plugins aktivieren/deaktivieren“, das wäre ja schon mal beruhigend, dann gäbe es eine Lösung. Derzeit, also ohne Plugin-Verwaltung, gibt es halt leider keine, dann muss ich die Kommentarfunktion erst mal komplett rausnehmen, und das würde mich entsetzlich ärgern.
Liebe Grüße!
Das hört sich so an, als verwendest du eine stark eingeschränkte Version von WordPress. Wenn es über einen deutschen Anbieter läuft auf dessen Seiten nach Informationen suchen bzgl. DSGVO. Falls es ein nicht deutscher Anbieter ist -> wechseln.
Hostest du selbst? Vielleicht kann man das alles nicht (kostenlos) machen, wenn man nicht selbst hostet, sondern direkt bei WordPress ist?
Ich hab damals einfach direkt bei WordPress einen Blog erstellt und losgelegt, später dann nachgerüstet, um die Werbung los zu sein. Das werden doch aber zahllose Leute genau so gemacht haben, ich bin echt irritiert, dass ich zu dem Problem nirgends etwas finde.
Hier sind die Tarife gelistet:
https://de.wordpress.com/pricing/
Dort steht (ganz unten rechts), dass „Plugins installieren“ eine Leistung sei, die nur unter Business-Tarif möglich ist. Und darunter steht: „NEU“. Für mich sieht das so aus, als ob man ohne den Business-Tarif nix machen könne. Freue mich ja sehr, wenn ich mich da irre, bin aber derzeit echt ein bisschen ratlos.
Na gut, sieht tatsächlich so aus, als müsste ich selbst hosten. Himmel noch mal, ich hoffe, das funktioniert alles, und ich krieg das Zeug sauber umgezogen.
Vielen Dank jedenfalls, da hast Du mich auf die richtige Fährte gebracht!
Hallo Maike, mir geht es tatsächlich genau wie Dir! Bin mit meinem Blog auch bei WP und habe auch nicht den Business-Tarif. Und genau wie Du könnte ich schwören, dass ich früher Plugins installieren konnte (zwar nur eingeschränkt, aber trotzdem). Da ich aber absoluter Technik-Honk bin, habe ich mich nie weiter damit befasst. Wie machst Du das jetzt mit dem Selbst-Hosten? Bei mir wird es wohl ähnlich weitergehen….
hallo Maike, mir geht es genauso – ich habe den Premium-Tarif (auch wegen der Werbung) und kann somit notwendige technische Veränderungen gar nicht vornehmen. Jedoch denke ich schon, dass hier auch WordPress in der Pflicht ist, entsprechend nachzurüsten, denn was soll ein einfaches anwenderfreundliches Baukastensystem, wenn die zur Verfügung stehenden Werkzeuge nicht den gesetzlichen Bestimmungen entsprechen. Ich habe meinen Blog erstmal auf privat geschaltet und warte nun auf WordPress, die mir mitgeteilt haben, dass sie dabei sind, notwendige Änderungen vorzunehmen. Seit heute gibt es nun zumindest die Möglichkeit, direkt unter die Kommentare eine Notiz zu Akismet zu machen. Schöne Grüße, Janine
Damit ist das Web endgültig von den Juristerei-Piraten gekapert worden :-(
Ein paar Dinge fehlen noch:
Google Web Fonts -> Raus damit, Schriftarten lokal einbinden
Client Seitige Ajax Requests zu fremden Seiten -> Raus damit, Serverseitig realisieren
Facebook Feeds -> Durch Links ersetzen
^ selbiges für Xing, Insta, Pinterest, Twitter
Auf dieser Seite hier ist sowohl der Request zu Gravatar als auch Google Webfonts NICHT zulässig. Eine DSGVO konforme Regelung müsste es dem Nutzer erlauben VOR dem Request zu entscheiden ob er das will. Hier wird geladen ohne zu fragen ;-)
Kann man machen (ist aus meiner Sicht auch schöner wegen der Datensparsamkeit) muss man aber nicht. Passende Vereinbarungen und richtige Umsetzung der Informationspflichten aus Art. 13 DSGVO reichen. Einzig bei Facebook gebe ich Dir Recht, mit denen ist es nicht ganz einfach etwas rechtssicheres zu vereinbaren…
Wo ist hier ein Facebook Feed?
@dasnuf vermutlich hat Boris auf meine Empfehlung reagiert, allgemein den Facebook Feed zu entfernen. Auf dieser Seite ist wie du vermutlich am besten weißt nichts dergleichen zu finden.
@Boris das ist halt die Frage, wenn die reine IP als personenbezogene Daten gilt liefert der Websitenbetreiber diese über den Request zur Schriftart an Google und die speichern die IP sicher im Log. Aufwand wäre ja einfach nur:
* Schriftart runterladen
* Schriftart auf den Server laden
* CSS anpassen
/* Your local CSS File */
@font-face {
font-family: ‚Cantarell‘;
font-style: normal;
font-weight: 700;
src: local(‚Cantarell Bold‘), local(‚Cantarell-Bold‘), url(../font/Cantarell-Bold.ttf) format(‚truetype‘);
}
Falls jemand ein Snippet sucht :) (Geklaut von : https://stackoverflow.com/questions/8966740/how-to-host-google-web-fonts-on-my-own-server)
Da spendiere ich doch gerne einen Kaffee :-)
Dein Artikel hat mir viel Zeit erspart – danke
Wer Google Analytics hat:
Opt-in-Lösung umsetzen:
https://www.datenschutzbeauftragter-info.de/tracking-nur-noch-mit-opt-in-kritische-anmerkungen-zum-dsk-papier/
VG
Michael
Was auchmal noch loswerden wollte, habt íhr euch eigentlich mal gefragt was es bisher gebracht hat mit dem Cookie Schwachsinn ? Wieviel Lebenszeit und diser Schwachsinn kostet wieviel Energie und Arbeitszeit Verloren geht und verschwendet wird ? nur um diesen Cookie
JEDESMAL BEI JEDER WEBSEITE WEGZUKLICKEN
und jetzt wird der Schwachsinn weiter gekrönt!
und was oder ist bisher im „normalen“ Offline Leben ?
muss ich auch einen Button drücken bevor ich ein Ladegeschäft betrete ?
Stellt euch ihr müsstet beim betreten jedes Geschäftes jeden Grunstücken, Hausen, etc. einen Button drücken bevor die Tür das Tor ausgeht ?
Beim Abheben am Geldautomat werde ich fotographiert ohne gefragt zu werden ?
Behörden machen Fotos von mir wenn ich zu schnell fahre ? Polizessen notieren wo ich (falsch) geparkt habe.
ohne das die einwilligung gegeben habe.
Sie benutzen die Daten meines KFZ Kennzeichens.
Wann kommt die Luftschutzverordnung dann muss jeder immer vor jedem Atemzug per App bestätigen das er Luft holt und diese vieleicht durch Dioxin oder Feinstaub belastet sein kann und beim ausatmen vieleicht DNA Teilchen mit ausgeatmet werden könnten und diese dann kriminaltechnisch ausgwertet werden könnten um festzustellen wer die Luft ausgeatmet hat.
WAS FÜR EINE KRANKE WELT !
Da die IP-Adresse auch zu den personenbezogenen Daten zählt, sollte man die Server-Logs auch soweit anpassen, dass die IP-Adresse gekürzt oder entfernt wird. Alternativ kann man die Logs auch komplett deaktivieren.
Warum sollte man die Server Logs kürzen oder abschalten ? damit ich dann die kriminellen Spammer und Hacker ( 99% aus der Ukraine und Russland ) nicht mehr blocken kann und die es dann noch einfacher haben WP Blogs zu hacken ?
Was haben die Logs mit deinem Spamproblem zu tun? Wenn sie in den Logs stehen ist es schon zu spät. Vorher abfangen, Log Eintrag anonymisieren.
Allinkl + WordPress…das…das bin ja ich! Danke für den coolen Artikel. Dachte eigentlich meine Checkliste zum Abarbeiten wäre komplett, aber habe bei Dir tatsächlich noch ein paar Punkte gefunden- Danke Patricia! <3 LG!
******************KOMMENTAROMAT**********************
Made my day
*****************/KOMMENTAROMAT**********************
Das ist jetzt nur ein Randthema, aber trotzdem; für diese internationale Postsache gibt es den Internationalen Antwortschein: https://www.deutschepost.de/de/b/briefe-ins-ausland/internationaler-antwortschein.html
Sensationell! Vielen Dank für den Hinweis.
Gute Scheißtipps!
Falls nach dem Einbinden von Let’s Encrypt noch kein grünes Schloss erscheint, empfehle ich das Plugin Really Simple SSL. Das behebt u. a. Mixed Content-Konfikte.
Jep. Danke.
Super Zusammenfassung! Vielen Dank dafür. Werde meine Seiten (privater Blog, Vereinswebseiten) noch mal gegen diese Liste abgleichen.
Vielen Dank für deine Zusammenfassung und ich war ein bisschen stolz, dass ich die letzten Monate seit Anfang des Jahres alles so peu à peu gemacht hatte. Auch wenn es einfacher gewesen wäre, wenn ich deine Liste schon vorher gekannt hätte. Aber eine neue Sache habe ich bei dir gefunden die ich noch nicht kannte daher ein dickes … DANKESCHÖN,
Aber ich vermute, das war noch nicht alles… Denn wie sagte den Tag ein Kollege zu mir „die neue DSGVO wurde nicht für Leser/Kunden etc. gemacht, sondern für die Industrie, die daran verdient“ Mittlerweile sehe ich es genauso, wenn ich sehe, woran man bei den Einstellungen alles verzweifeln kann und es am Ende doch nicht richtig ist, weil wir auch nur Laien sind. Alleine das Einbinden des SSL Zertifikat hat mich einen ganzen Arbeitstag gekostet, inklusive das ich in meine eigene Seite nicht mehr hineinkam…
Genau aus diesem Grund habe ich die Zertifizierung von https://all-inkl.com/ vornehmen lassen. Ich habe die 90, 00€ bezahlt und setze sie mit „Wonne“ von der Steuer ab.
Die Anonymisierung geht bei https://all-inkl.com/ viel einfacher ohne ein zusätzliches Plugin. Schau mal auf meinen Blog da habe ich unter anderem ein Foto geblogt, wo man sieht welche Möglichkeiten bestehen. https://grosty.de/2018/04/30/einen-blog-selber-hosten/
Leider kann ich hier keinen Screenshot posten.
Volltreffer – ALLINKL plus WORDPRESS…
Herzlichen Dank für Deine Mühe!
Sehr gerne. Tatsächlich freue ich mich zunehmend, dass ich den Artikel geschrieben habe. Ich dachte, das ist jetzt ja der Schrillionste Artikel – den liest niemand – aber scheint ja nicht so zu sein.
Ich muss zugeben, ich hab ihn sehr widerwillig gelesen… aber muss ja sein :D
Ich hab ihn auch widerwillig geschrieben :D
Plugin bei den Kommentaren erweckt leider nur den Eindruck, dass es DSGVO konform wird. Leider wird die Einwilligung dann aber nirgends dokumentiert.ohne Doku bringt die nix. Zur Kommentaren: spracherkennung schickt nur die ersten 3 Wörter zur Analyse. GA ADV geht ab 25.5. Online
Ohne Einwilligung kann man nicht kommentieren. Daraus kann man ableiten, dass jmd der kommentiert hat, eingewilligt hat. Da @rbl_rfm das Plugin auch verwendet, bin ich mir relativ sicher, dass es i.O. so ist.
Jemand, der sich auf einer öffentlich zugänglichen Plattform bewegt und freiwillig dort einen Kommentar hinterlässt, muss nicht dokumentiert einwilligen. Man kann die Abgabe des Kommentars als konkludentes Einverständnis werden. So wie Du es umgesetzt hast, ist das m.E. vorbildlich gelöst.
Vielen Dank übrigens für die ausführlichen Hinweise, das war sehr hilfreich.
Dankesehr! *liste.zück
Vielen lieben Dank dir! Hoffe du hast dir nach dieser riesigen Aktion erstmal 2 Wochen Urlaub gegönnt. :D
Nur als Hinweis: wenn ich die Seite öffne, habe ich den Cookie auf dem Rechner, obwohl ich nicht auf „OK, Danke“ geklickt habe. dropbox.com/s/1g9ad4nvf2j8…
Und ein „OK, Danke“ ist „alternativlos“, ich will ja auch „Nein, Danke“ sagen können…
PS: Server liefert ein paar HTTP 404.
Nur „OK, Danke“ nennt sich Implied Consent Modell und ist nach meiner Recherche gültig. Hinweis muss nicht verpflichtend ein Opt out haben. Welches Plugin empfiehlst du?
Danke
Danke für den Artikel! Wollte Dir gerade einen Kaffee ausgeben. Dabei würde von Paypal meine Mailadresse, bzw. mein bei Paypal gespeicherter Name an Dich übermittelt. Müsste das nicht auch noch in der Datenschutzerklärung erfasst werden? Bin mir da nicht ganz sicher…
Fällt das nicht unter Dienste Dritter?
Nur wenn du diesen Dienst dann auch erwähnst. Eine pauschale Genehmigung aller Dienste gibt es meines Wissens nach nicht, sondern jeder Dienst, den man selber auf seiner Seite einbindet muss man in der Datenschutzerklärung darlegen.
Zusätzliche Hinweise:
Nicht unbedingt notwendige Cookies dürfen nach meinem Verständnis erst nach Genehmigung gesetzt werden.
Name bei Kontaktformularen darf kein Pflichtfeld mehr sein, da der Name nicht zwingend notwendig ist um mit jemandem zu kommunizieren.
Ein Kontaktformular zum anfordern der persönlichen Daten hinzu zu fügen wäre sinnvoll.
Ansonsten ist eine Überprüfung der eigenen Webseite (auch einer Beitragsseite) mit https://webbkoll.dataskydd.net/en auch sehr aufschlussreich.
Kontaktformular hat ja dann wieder eigene DSGVO Erfordernisse. So wie ich informiert bin, genügt die E-Mailadresse in der Datenschutzerklärung zur Kontaktaufnahme.
Die Erfordernisse sind aber nichts kompliziertes. Das entspricht dem, was auch beim Kommentarfeld gilt. (Auch hier stellt sich nebenbei gesagt die Frage, ob ein Name ein Pflichtfeld sein darf oder ob die Kommentare technisch auch ohne Namen abgespeichert und veröffentlicht werden könnten. Wenn ja, wäre möglicherweise in der Datenschutzerklärung auf die ‚Notwendigkeit‘ der Speicherung des Namens zur besseren Zuordnung hinzuweisen. So die Auskunft die ich von verschiedenen Anwälten zu dem Thema bekommen habe.)
Klar reicht eine E-Mail-Adresse, aber ein Kontaktformular mit Antispam-Schutz und der Einverständniserklärung zur Speicherung sowie einer Checkbox, mit der der Nutzer seine Daten anfordern kann, vereinfachen den Prozess. Man kann halt leichter erkennen, was gewünscht wird und dann dem Ablauf folgen, den WP mit der Version 4.9.6 ab 15.05. dann ermöglicht.
Der andere Punkt der DSGVO ist die generelle Datensparsamkeit die faktisch verordnet wird (um bei dem Vergleich zur Pharmaindustrie zu bleiben :) ) Und es stellt sich nun einmal die Frage, was auf einer gewerblichen Webseite (wie auch auf deiner) für den Internetauftritt des eigentlichen Gewerbes notwendig ist. Wenn z.B. die gewerbliche Seite eines Malerbetriebes wirklich Werbebanner von Amazon und Google braucht um zu überleben, sollte der Betrieb wohl eher sein Fach wechseln ;) Aber das werden nach aktuellem Stand wohl irgendwann Gerichte entscheiden müssen.
Auch wird ja mehr oder weniger verlangt sicherheitstechnisch auf dem aktuellen Stand zu sein. Wie dann gemischte Inhalte (https & http) auf einer Webseite zu behandeln sind ist ja auch nur ‚theoretisch‘ klar. Eigentlich müssten demnach alle Webseiten generell nur noch mit https arbeiten. Und wenn dann auch noch unsichere Scripte mit angeboten werden (wie auch hier auf der Seite) stellt sich diese Frage doppelt.
Zu deinem Cookie-Text ergibt sich dann noch die Frage, ob dieser überhaupt ausreichend ist. Denn du verwendest eben nicht nur Cookies sondern verschiedenste andere Dienste, die zwar in der Datenschutzerklärung aufgeführt werden, aber auf die der Nutzer nicht hingewiesen wird. Für einen „Laien“ sieht es so aus: „Diese Webseite benutzt nur Cookies für die Verwendung auf dieser Webseite. Meine Daten bleiben somit auf dieser Webseite“.
Ein aussagekräftigerer Text wäre eventuell sinnvoller (zumindest auch wieder etwas, dass mir verschiedene Anwälte mitgeteilt haben). Eventuell so etwas wie „Informationen zur Datensicherheit & Cookies: Die Webseite speichert einige Daten um die Funktionen gewährleisten zu können, benutzt Cookies und tauscht Informationen mit ausgewählten Partnerdiensten aus. Wenn Sie die Webseite weiter benutzen, stimmen Sie der Speicherung und Verwendung der Daten für diesen Zweck zu. Weitere Informationen finden Sie dazu in der Datenschutzerklärung“.
Bisher habe ich auf den über 60 Webseiten die ich überprüft und die DSGVO-Konformität soweit vorbereitet habe nirgendwo echte Schwierigkeiten gehabt. Nur rein private Webseiten/Blogs, deren Betreiber anonym bleiben wollen haben aufgrund des TMG immer wieder ein Problem, da sie normalerweise auf werbefinanzierte Angebote zurückgreifen und somit laut Ansicht verschiedenster Fachleute (nein, die sind sich nicht alle einig) eben nicht mehr als Privat einzustufen sind. Aber ich schweife vom Thema DSGVO ab ;)
DSGVO fordert: Haltet eure Webseiten sauber & sicher und informiert eure Nutzer darüber was ihr mit den Daten macht. Gebt ihnen zusätzlich die Möglichkeit ihre eigenen Daten anzufordern und zu löschen. Speichert nur das was unbedingt notwendig ist.
P.S.: Nein, das ist keine Rechtsberatung und es gibt auch keinerlei Haftung für die hier getätigten Aussagen.
Dankeschön.
Ich fürchte allgemein, dass das Abahnanwältegeschmeiss bereits die Stifte zückt
Also ich habe den Teil mit der Rücksendebriefmarke bei Google überlesen und einfach den Vertrag hingeschickt.
Er kam auch wieder zurück, also schein Google portotechnisch durchaus generös zu sein ;-).
Liebe Grüße
Danielle
Sehr gut! Dann hoffe ich auch auf meine Taube :)
DANKE dir für die Infos! Und ja, diese Plugins, man hat ja schon fast eine Beziehung mit aufgenommen. Eines davon war so gemein und hat mit dem Löschen meine Abonnenten mitgenommen..
Oh nein. Wie ärgerlich.
Wenn Du mir das Plugin magst, kann ich eine Warnung in den Artikel mit aufnehmen.
Vielen, vielen herzlichen Dank für die Mühe!!
Ich habe auch schon ein paar Stunden vor dem Rechner verbracht und mich mit dem Thema beschäftigt, aber habe jedes Mal frustriert aufgegeben, weil immer wieder etwas neues aufgetaucht ist, das ich nicht verstanden habe bzw. recherchieren musste.
Ich habe nur eine klitzekleine Anmerkung: Das Plugin heißt Akismet (nicht Askimet), aber den Buchstabendreher darf ich behalten, oder? *gerahmt zu den anderen hängt* ;-)
Herzlichen Dank nochmal! :-)
Hups. Habs angepasst. Vielen Dank für den Hinweis.
Superklasse gemacht! Toller Service. Für kleines Geld biete ich hier eine erlebnisstarke Reise durch die Weltmeere der DSGVO: bettinaschoebitz.de/angebot/online… Für die, die NOCH mehr wollen.
Vielen Dank. Was mich nervt ist der Zwang einiger Plugins, ums verrecken JS und Fonts von Google und anderen CDNs nachzuladen. Schon immer eigentlich, aber jetzt auch endlich rechtlich begruendbar.
Du bist die Beste! Danke von Herzen! so verstehe ich das :-)
Antispam Bee darf indes u.a. keine öffentliche Spamdatenbank abfragen, um konform zu bleiben. Habe ich bei den WP-Ninjas gelesem. Die haben eine schöne Liste zu WP-Plugins und deren DSGVO-Konformität.
LG johnny
Habe ich oben ergänzt. Ist aber eigentlich Default-Einstellung bei Installation. Man darf halt das Häkchen nicht selbst setzen.
Sehr gute Zusammenstellung. Danke Dir!
Hast du konkret zu den Indieweb-Plugins noch was rausgefunden? Weil da ja Fremdinhalte automatisiert ins Blog übernommen werden. Also ohne explizite Zustimmung.
Wie ich es verstehe, ist die Indieweb-Funktion durch die Passage der Datenschutzerklärung abgedeckt, die sich mit Onlinepräsenzen in sozialen Medien befasst. Ich habe oben Punkt 9 ergänzt.
Danke, insbesondere für den all-inkl-Teil. Ich schiebe das schon seit Wochen vor mir her
Gerne. Das Verschieben war gut. Jetzt geht das bei all-inkl nämlich wirklich in max. 10 min.
Sehr cool. Ich habe die gleiche konstellation, allerdings ist mein blog nicht privat und ich bin keine kleinunternehmerin. da muss ich wohl nochmal ran. was hast du zu indieweb herausgefunden?
Wie ich es verstehe, ist die Indieweb-Funktion durch die Passage der Datenschutzerklärung abgedeckt, die sich mit Onlinepräsenzen in sozialen Medien befasst. Ich habe oben Punkt 9 ergänzt.
Danke, dass du dir die Arbeit gemacht hast!
Das nächste WordPress-Update steht in den Startlöchern und bessert nach.
Wobei Google angekündigt hat, dass man @googlefonts auch DSGVO-konform nutzen kann, auch ohne sie selbst zu hosten.
Google Fonts nicht vergessen; oder am besten die Web-Fonts selbst hosten.
*weint leise* (Ja, muss ich mich noch drum kümmern). Zum Glück haben das andere verbloggt.
Danke!
Dankeschön, genau, was ich seit heute früh suche.
Frage zum Wechsel des Anti-Spam-Dienstes: hatte früher AntiSpamBee und war nicht zufrieden, seit Akismet super zufrieden. Merkst Du einen Unterschied nach Wechsel auf AntiSpamBee?
Nein, gar nicht.
Wir haben schon vor einiger Zeit alle Blogs von uns und unserer Kunden komplett auf AntispamBee gewechselt und das Plugin macht seinen Job hervorragend.