DSGVO? Da gibt’s doch was von Ra… äh ein WordPress Plugin

Auf der Blogfamilia hat Maret Buddenbohm gesagt, man soll über das bloggen, was man gerne bei anderen lesen würde. Sie hätte tagelang ein geeignetes Einsteigerhandy für Sohn I gesucht. Hätte man das Ergebnis der Recherche verbloggt, wären hunderte von Eltern glücklich, weil sie sich die Arbeit nicht ein zweites, drittes und hundertes Mal im stillen Kämmerlein machen müssten.

Ich zum Beispiel würde ich gerne was über die Umsetzung der DSGVO lesen, wenn man ein WordPress-Blog hat und zufällig bei all-inkl.com hostet. Leider hat den Artikel noch niemand geschrieben. Dann muss ich das wohl machen. Deswegen hier der Schrillionste Artikel zum Thema DSGVO und Bloggen.

DSGVO macht Gefühle
Das bin ich, wie ich mich mit der DSGVO beschäftige. Abend für Abend – obwohl ich lieber Netflix-Serien schauen möchte.

Ob das, was ich gemacht habe, reicht und ob es gut ist oder gar richtig – keine Ahnung. Könnt ihr nachmachen – für die Folgen müsst ihr aber selbst die Verantwortung übernehmen. Ich bin nur eine Diplom-Psychologin, die ein WordPress-Blog hat.

Es folgt eine Beschreibung für ein einfaches Blog (Privatperson oder Kleinunternehmer) ohne Schnickschnack wie Formulare, Shop oder Newsletter.

1) SSL Zertifikat klicken

Ein SSL Zertifikat habt ihr alle schon. Ich war die letzte. Trotzdem: Wenn man keins kaufen will, kann man sich z.B. über Let’s Encrypt kostenlos eins klicken. All-inkl.com hat dazu einen FAQ-Eintrag verfasst.

Dazu ins KAS einloggen und dann bei „Domain“ auf die SSL Option klicken. Da gibt es drei Reiter – ihr wählt dann den „Let’s Encrypt“-Reiter und klickt das Häckchen und wie von Zauberhand habt ihr in wenigen Minuten ein https. Hui!

Im Podcast Rechtsbelehrung Folge 55 (DSGVO: Datenschutzerklärung FAQ) erläutern Marcus Richter und Thomas Schwenke Minute 33 ff., dass das Encrypt Zertifikat in Ordnung ist. Es gibt auch Seiten, auf denen man prüfen kann, ob das SSL-Zertifikat OK ist (z.B. SSL-trust.com)

SSL Check
Juhu!

(Wen es interessiert: Details zu der Geeignetheit von Let’s Encrypt-Zertifikaten ggü. gekauften und selbstgezeichneten Zertifikaten.)

2) AV-Vertrag mit dem Hoster abschließen

Bei all-inkl.com auch ziemlich einfach. In den Kundenbereich einloggen – da unter „Stammdaten“ den Punkt „Auftragsverarbeitung“ anwählen, alles gut durchlesen, Häkchen setzen. Fertig.

2b) Wenn ihr Google Analytics benutzt: AV-Vertrag mit Google abschließen

Das selbe mit Google machen, wenn man Google Analytics verwendet. Dafür muss man wirklich einen Vertrag 2x ausdrucken, unterschreiben und nach Dublin schicken. Irre. Eigentlich mit frankiertem Rückumschlag. Größtes Problem an der Umsetzung der Anforderungen der DSGVO bislang – denn ich habe keinen blassen Schimmer, wie ich an irische Briefmarken komme. Ich hab den Vertrag also mit einer Brieftaube geschickt. Sie bringt den Durchschlag zurück.

3) Akismet rausschmeißen und anstattdessen Antispam Bee nehmen

In WordPress zu Plugins navigieren.

Dort den Eintrag zu Akismet suchen – löschen. Danach oben links auf Plugins – Installieren und in der Suche „Antispam Bee“ suchen.

Das entsprechende Plugin auswählen und dann „Jetzt installieren“.

Als nächstes in den Einstellungen sicherstellen: Keine Häkchen an den folgenden Aussagen, da sonst die IP-Adressen an den „Stop Forum Spam“-Dienst weitergeleitet werden bzw. der Kommentartext zwecks Spracherkennung zu Google Translate weitergeschickt wird .

Fertig. Irre! Total einfach.

4) Plugin-Liste bereinigen

Schaut euch eure Plugin-Liste an und schmeißt alles raus, was ihr eigentlich ohnehin nicht benutzt. Ich hab so viel Krempel in meiner Liste gehabt – unglaublich. Wenn ihr unsicher seid – einfach erst mal deaktivieren und schauen, was mit dem Blog passiert. Am besten ein paar Tage. Alles funktioniert, wie gehabt? Deaktiviertes Plugin löschen.

Achso – vorher immer schön Backups machen. Ist klar. Macht man ja immer. Hat jetzt nichts mit den Plugins zu tun, aber Backups sind immer gut.

Macht einen Screenshot von den Plugins, wenn euer Blog perfekt funktioniert. Wenn ihr nämlich aus Versehen etwas löscht, dann könnt ihr es so wie oben bei Antispam Bee beschrieben, einfach wieder installieren. Manche Plugins haben eigene Einstellungen, die einfach auch sichern, dann kann eigentlich nichts passieren.

Mit etwas Glück findet ihr eure verwendeten Plugins auf der Seite „120 WordPress-Plugin im DSGVO-Check (mit Lösungen, Alternativen und Plugin-Tipps!)„, die euch dann sagt, ob ihr sie weiterverwenden könnt oder nicht. Eine zweite, hilfreiche Liste, gibt es bei den WordPress Ninjas.

P.S. Ich habe Jetpack nicht benutzt – falls ihr es aber benutzt – Laura von Heute ist Musik warnt: Wenn ihr Jetpack löscht, gehen alle Abos damit verloren.

5) Wenn ihr Google Analytics benutzt – IP kürzen

Ich habe dafür ein Plugin benutzt (Google Analyticator). Da kann man in den Einstellungen einfach „Anonymize IP Adresses“ auf „Yes“ stellen.

6) Datenschutzerklärung updaten

Dafür den Datenschutz-Generator von Thomas Schwenke nehmen. Dass der Datenschutzhinweis deutlich zu sehen sein sollte, ist irgendwie selbsterklärend.

Sofern es automatisierte Dienste gibt oder geben wird, die nach Fehlern in der Datenschutzerklärung suchen, um dann abzumahnen, kann man das vielleicht ein bisschen erschweren, indem man die Seite mit der Datenschutzerklärung auf „noindex“ setzt. Das geht per Plugin – z.B. „Noindex Pages„. Das ergänzt eine kleine Checkbox rechts oben bei „Veröffentlichen“.

7) Kommentiermöglichkeiten anpassen.

Dazu einen Datenschutzhinweis direkt über das Kommentarfeld einbauen. Schön zu sehen auf der Seite Rechtsbelehrung:

Geht – wer hätte das gedacht – per Plugin. Zum Beispiel: „WP GDPR Compliance“.

7a) Verwendung von Gravatar

Auf diversen Seiten habe ich gelesen, dass man Gravatar nicht benutzen soll. Andere vertreten den Standpunkt (siehe oben), dass man einfach direkt bei der Kommentierungsmöglichkeit auf den Einsatz von Gravatar verweist.

8) Cookie-Hinweis einbauen

Hätte man schon lange machen müssen. Gibt etliche, sehr einfach zu bedienende, Plugins. Ich verwende „Cookie Consent„. Nicht vergessen die URL zu eurem Datenschutzhinweis im Plugin zu hinterlegen und den Text anzupassen. Wichtig! Der Cookie-Hinweis darf den Link zur Datenschutzerklärung nicht verdecken (andere Banner natürlich auch nicht).

9) Indieweb (Punkt nachträglich ergänzt)

Wie ich es verstehe, ist die Indieweb-Funktion durch die Passage der Datenschutzerklärung abgedeckt, die sich mit Onlinepräsenzen in sozialen Medien befasst:

„Beim Aufruf der jeweiligen Netzwerke und Plattformen gelten die Geschäftsbedingungen und die Datenverarbeitungsrichtlinien deren jeweiligen Betreiber.

Soweit nicht anders im Rahmen meiner Datenschutzerklärung angegeben, verarbeite ich die Daten der Nutzer sofern diese mit uns innerhalb der sozialen Netzwerke und Plattformen kommunizieren, z.B. Beiträge auf unseren Onlinepräsenzen verfassen oder mir Nachrichten zusenden.“

D.h. wenn man sich bei z.B. bei Twitter angemeldet hat und Twitter es erlaubt, dass die Likes, Retweets und Replys durch ein anderes System gezogen werden, dann haben die NutzerInnen das dort schon mit einem „OK“ abgenickt.

In der Rechtsbelehrung Folge 55 (DSGVO: Datenschutzerklärung FAQ) befassen sich Marcus Richter und Thomas Schwenke Minute 72 ff. mit dieser Frage. Es wird empfohlen den Einsatz des Indieweb-Plugins mit Verweis auf die Datenschutzbestimmungen von Twitter und Facebook (von wo die Daten gezogen werden) zu erwähnen.

Habt ihr dazu eine andere Interpretation? Discuss!

 

So ihr Hasen. Das ist was ich bislang gemacht habe. Ich lasse mir gerne mansplainen erklären, was ich falsch gemacht habe und was fehlt. Go for it! Wirklich. Ich bin über weitere Hinweise dankbar. Jedenfalls mindestens solange bis sie mich verunsichern.

Gegen Panik und blinden Aktionismus (schlimmstenfalls in Form von Bloglöschung) empfehle ich Folge 54 ( DSGVO: Alles zur EU-Datenschutzgrundverordnung – Rechtsbelehrung) und Folge 55 (DSGVO: Datenschutzerklärung FAQder Rechtsbelehrung.

Neu: Micropaying-Dienste sind tot. Aber Du kannst mir einen Kaffee ausgeben, wenn Du auch so deprimiert über die DSGVO bist.

245 Gedanken zu „DSGVO? Da gibt’s doch was von Ra… äh ein WordPress Plugin“

  1. Ich nutze WP bislang in der kostenlosen Version für einen privaten Blog, also bislang ohne Plugin-Möglichkeiten und ohne dieses all-inkl. Wenn ich das richtig verstehe, kann man den Blog aber ohne Plugins nicht DSGVO-konform machen – es wäre also definitiv notwendig in den Business-Tarif zu wechseln, um überhaupt Plugins installieren zu können und sich rechtlich abzusichern? Das muss ich einfach mal so „blöd“ fragen, ich wußte bislang nicht mal was ein Plugin ist…

    1. So wie ich es verstanden habe, wird WordPress kurzfristig Features zur Verfügung stellen, die es möglich machen auch in der kostenlosen Variante weitgehendst DSGVO-konform zu handeln (was das genau heisst, weiß am Ende ja niemand so genau).

  2. „Ich zum Beispiel würde ich gerne was über die Umsetzung der DSGVO lesen, wenn man ein WordPress-Blog hat und zufällig bei all-inkl.com hostet. “

    Der Kracher! Vielen Dank!!!!

  3. Danke für den herrlich unaufgeregten Artikel über dieses Thema!
    Auch ich bin derzeit dabei meinen Blog DSGVO-konform zu machen. Und weil ich gerade dafür ghostery installiert habe, hab ich mal deinen neuen „Schalter“ für google analytics in der Sidebar ausprobiert…. nun, was soll ich sagen… ghostery vermeldet, egal was eingestellt ist, dass google analytics aktiv ist. Ist aber kein Aprilscherz, oder?
    Liebe Grüsse, Stefanie.

  4. Oh nein. Bisher hab ich das noch erfolgreich verdrängen können, aber jetzt direkt bissi Angst, weil ich mal noch so gar keinen Schimmer von Überhaupt nix hab. Ich bin dann wohl mal lesen.

    Danke dir! <3!

  5. Super Artikel, vielen Dank! Die Kombination WordPress und all-ink passt auch bei mir perfekt :)

    Eine Frage habe ich aber dazu: nachdem du das SSL-Zertifikat bei all-ink aktiviert hast, hast du für WordPress dann ein Plugin verwendet oder manuell umgestellt? Nur mit dem Zertifikat ist es meines Erachtens ja nicht getan, oder?

    Viele Grüße
    Carina

    1. Was meinst du denn genau?
      Zertifikat klicken. In den Einstellungen bei WordPress die URL anpassen

      und ggf. noch das Plugin „SSL Insecure Content Fixer“ einsetzen, um alte Pfade umzuleiten.

  6. Hi @ll,

    die DSGVO haben wir doch alle liebgewonnen, oder? Inbesondere wenn man bedenkt, dass es die ePrivacy Verordnung sein wird, die uns erst richtig viiiiiel Spaß machen wird (zumindest nach jetzigem Kenntnisstand).

    So, jetzt aber in aller Kürze ein paar Hinweise noch von mir (auch in der Hoffnung, dass ich Vorredner nicht wiederhole)…

    1.) Impressum und Datenschutzerklärung als eine Seite ist längst nicht mehr zulässig / zu empfehlen. Das heißt, trenne die beiden bitte und mache jeweils eine Seite für Impressum und eine für die DSE.

    2.) Bei der Vielzahl von Cookies und Tracking im BG Deiner Page solltest Du zumindest die Basics beachten. Das heißt, bei Google Analytics muss der OPT-OUT Cookie rein. Der fehlt gänzlich und ist aktuell einer der Top-Abmahngründe. Wichtiger Hinweis: Es gibt unzählige Möglichkeiten mit Generatoren die DSE erstellen zu lassen. Achte bitte unbedingt darauf, dass Du nicht den „Klartext“ einkopierst, sondern im WP-Backend auf Texteditor umstellt und den HTML-Code einbettest. Wahnsinnigerweise funktioniert der OPT-OUT Cookie nämlich in sagenhaften über 80% der WP-Seiten nicht. Und, wer mag es anders denken, einem RA ist es egal, ob Du den Text reingeschrieben hast….Du musst die technische Funktion sicherstellen. Also, halb-richtig kostet trotzdem Geld.

    3.) Randbemerkung noch zu den Cookies; Nach heutigem Stand kann (wird) die ePrivacy Verodnung aus dem Cookie Info-Bereich wohl ein Opt-IN machen. Das heißt, dass dann in der Tat der Besucher entscheiden muss, ob er Cookies gesetzt haben will oder nicht. M.E. wird das aber auch sehr kontrovers diskutiert. Ich empfehle aktuell meinen Klienten mit einem Opt-OUT Cookie zu arbeiten. Das heißt, der Besucher kann beim Besuch der Webseite entscheiden, ob er Cookies nutzen möchte oder nicht. Heute (also am 11.05.2018) geben wir dem Besucher hiermit zwar etwas mehr Spielraum als wir zusichern müssten, hat in meinen Augen aber mit transparenz und idealistischen Datenschutz zu tun. Und – über diesen Weg ergeben sich auch neue / andere Möglichkeiten der Monetarisierung … Strickt nach dem Motto: Think Global – Act Local…

    Lange Rede. Kurzer Sinn.
    Meine Vorredner haben die wesentlichen Dinge schon gut umrissen. Du solltest aber die großen Angriffspunkte noch beheben. Also Impressum und Datenschutz trennen und das Opt-Out in die DSE reinmachen.

    P.S. Die notwendige Einwilligung bei einem Kontaktformular bedarf dem expliziten Hinweis, dass der/die Datenverarbeitung für die Zukunft widersprochen werden kann. Dem Grunde nach sollte das auch für Kommentare gelten, oder? Ich meine, in Deiner Einwilligungs-Erklärung klärst Du zwar darüber auf, dass Pseudonyme verwendet werden können, Du lässt damit aber auch letztlich zu, dass jemand seine persönlichen Daten als „Komentator“ hinterlässt. Heißt, faktisch wäre die Speicherung von personenbezogenen Daten möglich und auch denkbar. Würde ich an der Stelle auch noch mal prüfen…wobei, wer will schon päbstlicher sein als der Pabst, oder? ;-)

    Viele Grüße
    Andreas

    1. Vielen Dank für die Hinweise. Allerdings schon bei 1: Ich bin mir sicher, dass man das zusammen machen kann, solange man eben an der Linkbezeichnung sieht, dass es beides ist.

    2. Eine Einwilligung für ein Formular ist eine nicht so schöne Idee, nimm als Rechtsgrudlage lieber die Interessensabwägung nach Art. 6 Abs. 1 lif f DSGVO. Da gibt es zwar auch ein Widerspruchsrecht, aber das ist nicht direkt.

  7. Wenn man bedenkt, das diese Nummer nur entstanden ist – damit die Regierung keine GeEfahr mehr läuft manipuliert zu werden, ist das ein Piratenstück der Meisterklasse an der Bevölkerung..

    Regierung klagt gegen Großkonzerne wie Google oder Facebook (Zu unsicher, zu teuer, dauert ewig, Regierung platt bevor Gerichtsentscheidung)..
    Regierung erlässt Gesetz und zwingt Bürger sich anzupassen auf eigene Kosten ((effektiv, schnell, und Sicherheit das man immer was findet zum bestrafen)Macht, Macht nix, und weitere Beschneidung der Rechte, Keine Kosten um die Großen und Kleinen zu schädigen)
    Gesetz wird einfach erst mal so in die Welt gesetzt, das keine klare Richtung erkennbar ist, wird dann mit nachfolgenden Urteilen bei Gericht ausgesessen – Am End zahlt schon einer – in diesem Fall wir (Wer auch sonst).
    Wer nicht gehorcht, der zahlt, wer gehorcht zahlt sowieso, wer nix verstanden hat – zahlt erst recht.
    Somit ist jetzt erklärt, was das damit auf sich hat…
    Die EU ist damit einer der besten Bürgermelkmaschinen, die jemals für Doofe erfunden wurde.
    Aber wisst Ihr was – Merken tut Ihr erst was läuft, wenn Ihr alt seid und euch nicht mehr wehren könnt. Und das fatale daran ist – jeder wird alt und bis dahin liebe Jungens und Madels zahlt Ihr Länge mal Breite für jeden Schritt in eine neue von Europa verordnete Zukunft….
    Und es gibt übrigens tatsächlich ein Word Press Plugin für den ganzen Krempel – aber jetzt komme erst einmal die Testphase, wie viel man die Leute mit Abmahnungen ausbeuten kann, bevor einzelne Richter hier mal hinterfragen, ob das überhaupt zulässig ist, das man uns einen Europäischen Melkschemel unter den Hintern setzt…

    Wünsche allen schönes WE
    kasi

  8. Ich finde es immer wieder interessant, wie sich alle auf die Nebenschauplätze stürzen. Bis auf ein paar Kleinigkeiten (z. B. 2b, das ist die alte Version der Auftragsdatenverarbeitungsvereinbarung mit Google, die nützt ab 25.5. nicht mehr wirklich) ist das im Post Geschriebene sicher sinnvoll. Plugins aus seinem Blog rauszuwerfen, ist in fast allen Fällen nicht notwendig, auch wenn irgendwelche Tools etwas anderes behaupten. Ihr müsst nur richtig über die Verwendung der Plugins im Datenschutzhinweis informieren.
    Die eigentliche Herausforderung für alle ist aber die Dokumentation, die man zukünftig aufgrund der Rechenschaftspflicht haben muss.
    Wer also denkt, mit ein paar Änderungen in seiner WordPress-Installation und einem Datenschutzhinweis aus dem Generator (ich kenne zurzeit keinen Generator, der das vernünftig macht) ist alles getan, der irrt sich leider gewaltig. Was man alles außerdem noch machen „darf“, findet ihr z. B. hier: http://dsgvo.expectit.de
    Nur so als kleiner Tipp aus der Praxis, das was im Post steht, habt ihr wahrscheinlich in einer Stunde erledigt, für die Dokumentation sollte ihr euch 1-2 Tage Zeit nehmen.
    Es ist aber sicher eine gute Idee, einen neuen Datenschutzhinweis auf die Webseite zu setzen, das ist sonst leider ein weites Einfallstor für die Abmahner. Da ist einer aus dem Generator zwar meist nicht perfekt, aber besser als gar nichts.

    1. Der unter 2b verlinkte Vertrag ist der Vertrag, den ich auch auf allen möglichen Anwaltsseiten gesehen habe. Welcher ist denn der korrekte?

      Plugins rauswerfen ist schon sinnvoll. Nicht nur im Sinne der DSGVO – oft probiert man irgendwas aus und nutzt die Funktion dann eigentlich gar nicht. Klar kann man das alles in die Erklärung aufnehmen – übersichtlicher für alle ist es dennoch nur das zu verwenden, was man wirklich braucht.

      1. Das ist eine alte Vereinbarung gemäß BDSG (siehst Du schon am Datum, 2016 erstellt). Kleiner Tipp: Wenn Auftragsdatenverarbeitung drüber steht ist das ein alter Vertrag, neu heisst das nur noch Auftragsverarbeitung (ohne „daten“). Eine aktuelle Vereinbarung gemäß DSGVO schließt Du einfach im Backend von Deinem Google-Acount ab. Das Schrifterfordernis (Papierform) ist durch die DSGVO entfallen. Die DSGVO hat also auch Erleichterungen parat…

        1. Ich hab es überall genau umgekehrt gelesen. Die Onlineversion sei nicht mehr ausreichend, man müsse jetzt ausdrucken und per Post dahin schicken.
          Du meinst also den Zusatz im Google-Analytics-Backend?

          1. Sorry hab Deine Frage erst jetzt gesehen. Im Google-Analytics Backend anmelden, auf Kontoeinstellungen klicken. Ganz unten findest Du den Abschnitt „Zusatz zur Datenverarbeitung “ (nur wenn Du laut Deiner Adresse in der EU lebst). Rechts unten findest Du unter „DETAILS ZUM ZUSATZ ZUR DATENVERARBEITUNG VERWALTEN“ den Link zur Verwaltung.
            Denk dabei auch gleich dran unter Verwaltung > Property > Tracking-Informationendie Speicherdauer auf eine vernünftiges Mass zu begrenzen.

  9. Hallo! Vielen Dank für die schön aufbereitete Liste. ich habe allerdings ein Problem: Will ich Plugins aktivieren oder deaktivieren, werde ich darüber informiert, dass dafür der Business-Tarif notwendig sei. Ich habe keine Liste, über die ich Plugins aktivieren oder deaktivieren kann. Bin aber ganz sicher nicht bereit, monatlich über 20 Euro für den Business-Tarif zu zahlen. Glaube mich zu entsinnen, dass ich früher durchaus eine Liste hatte und Plugins aktivieren/deaktivieren konnte. Erinnere ich mich da falsch, und ihr habt, was ich mir nicht vorstellen kann, alle den Business-Tarif? Oder ist bei mir irgendwas kaputt? Oder haben die da gerade eine haarsträubende Neuerung vorgenommen? Oder bin ich spontanverblödet und weiß nicht mehr, was ich tu?
    Würde mich sehr freuen, wenn mir dazu jemand etwas sagen kann, und sei es nur: „Habe keinen Business-Tarif und kann Plugins aktivieren/deaktivieren“, das wäre ja schon mal beruhigend, dann gäbe es eine Lösung. Derzeit, also ohne Plugin-Verwaltung, gibt es halt leider keine, dann muss ich die Kommentarfunktion erst mal komplett rausnehmen, und das würde mich entsetzlich ärgern.

    Liebe Grüße!

    1. Das hört sich so an, als verwendest du eine stark eingeschränkte Version von WordPress. Wenn es über einen deutschen Anbieter läuft auf dessen Seiten nach Informationen suchen bzgl. DSGVO. Falls es ein nicht deutscher Anbieter ist -> wechseln.

      1. Ich hab damals einfach direkt bei WordPress einen Blog erstellt und losgelegt, später dann nachgerüstet, um die Werbung los zu sein. Das werden doch aber zahllose Leute genau so gemacht haben, ich bin echt irritiert, dass ich zu dem Problem nirgends etwas finde.
        Hier sind die Tarife gelistet:
        https://de.wordpress.com/pricing/
        Dort steht (ganz unten rechts), dass „Plugins installieren“ eine Leistung sei, die nur unter Business-Tarif möglich ist. Und darunter steht: „NEU“. Für mich sieht das so aus, als ob man ohne den Business-Tarif nix machen könne. Freue mich ja sehr, wenn ich mich da irre, bin aber derzeit echt ein bisschen ratlos.

        1. Na gut, sieht tatsächlich so aus, als müsste ich selbst hosten. Himmel noch mal, ich hoffe, das funktioniert alles, und ich krieg das Zeug sauber umgezogen.
          Vielen Dank jedenfalls, da hast Du mich auf die richtige Fährte gebracht!

          1. Hallo Maike, mir geht es tatsächlich genau wie Dir! Bin mit meinem Blog auch bei WP und habe auch nicht den Business-Tarif. Und genau wie Du könnte ich schwören, dass ich früher Plugins installieren konnte (zwar nur eingeschränkt, aber trotzdem). Da ich aber absoluter Technik-Honk bin, habe ich mich nie weiter damit befasst. Wie machst Du das jetzt mit dem Selbst-Hosten? Bei mir wird es wohl ähnlich weitergehen….

  10. Ein paar Dinge fehlen noch:

    Google Web Fonts -> Raus damit, Schriftarten lokal einbinden
    Client Seitige Ajax Requests zu fremden Seiten -> Raus damit, Serverseitig realisieren
    Facebook Feeds -> Durch Links ersetzen
    ^ selbiges für Xing, Insta, Pinterest, Twitter

    Auf dieser Seite hier ist sowohl der Request zu Gravatar als auch Google Webfonts NICHT zulässig. Eine DSGVO konforme Regelung müsste es dem Nutzer erlauben VOR dem Request zu entscheiden ob er das will. Hier wird geladen ohne zu fragen ;-)

    1. Kann man machen (ist aus meiner Sicht auch schöner wegen der Datensparsamkeit) muss man aber nicht. Passende Vereinbarungen und richtige Umsetzung der Informationspflichten aus Art. 13 DSGVO reichen. Einzig bei Facebook gebe ich Dir Recht, mit denen ist es nicht ganz einfach etwas rechtssicheres zu vereinbaren…

      1. @dasnuf vermutlich hat Boris auf meine Empfehlung reagiert, allgemein den Facebook Feed zu entfernen. Auf dieser Seite ist wie du vermutlich am besten weißt nichts dergleichen zu finden.

        @Boris das ist halt die Frage, wenn die reine IP als personenbezogene Daten gilt liefert der Websitenbetreiber diese über den Request zur Schriftart an Google und die speichern die IP sicher im Log. Aufwand wäre ja einfach nur:

        * Schriftart runterladen
        * Schriftart auf den Server laden
        * CSS anpassen

        /* Your local CSS File */
        @font-face {
        font-family: ‚Cantarell‘;
        font-style: normal;
        font-weight: 700;
        src: local(‚Cantarell Bold‘), local(‚Cantarell-Bold‘), url(../font/Cantarell-Bold.ttf) format(‚truetype‘);
        }

        Falls jemand ein Snippet sucht :) (Geklaut von : https://stackoverflow.com/questions/8966740/how-to-host-google-web-fonts-on-my-own-server)

  11. Was auchmal noch loswerden wollte, habt íhr euch eigentlich mal gefragt was es bisher gebracht hat mit dem Cookie Schwachsinn ? Wieviel Lebenszeit und diser Schwachsinn kostet wieviel Energie und Arbeitszeit Verloren geht und verschwendet wird ? nur um diesen Cookie
    JEDESMAL BEI JEDER WEBSEITE WEGZUKLICKEN
    und jetzt wird der Schwachsinn weiter gekrönt!
    und was oder ist bisher im „normalen“ Offline Leben ?
    muss ich auch einen Button drücken bevor ich ein Ladegeschäft betrete ?
    Stellt euch ihr müsstet beim betreten jedes Geschäftes jeden Grunstücken, Hausen, etc. einen Button drücken bevor die Tür das Tor ausgeht ?
    Beim Abheben am Geldautomat werde ich fotographiert ohne gefragt zu werden ?
    Behörden machen Fotos von mir wenn ich zu schnell fahre ? Polizessen notieren wo ich (falsch) geparkt habe.
    ohne das die einwilligung gegeben habe.
    Sie benutzen die Daten meines KFZ Kennzeichens.

    Wann kommt die Luftschutzverordnung dann muss jeder immer vor jedem Atemzug per App bestätigen das er Luft holt und diese vieleicht durch Dioxin oder Feinstaub belastet sein kann und beim ausatmen vieleicht DNA Teilchen mit ausgeatmet werden könnten und diese dann kriminaltechnisch ausgwertet werden könnten um festzustellen wer die Luft ausgeatmet hat.

    WAS FÜR EINE KRANKE WELT !

  12. Da die IP-Adresse auch zu den personenbezogenen Daten zählt, sollte man die Server-Logs auch soweit anpassen, dass die IP-Adresse gekürzt oder entfernt wird. Alternativ kann man die Logs auch komplett deaktivieren.

    1. Warum sollte man die Server Logs kürzen oder abschalten ? damit ich dann die kriminellen Spammer und Hacker ( 99% aus der Ukraine und Russland ) nicht mehr blocken kann und die es dann noch einfacher haben WP Blogs zu hacken ?

      1. Was haben die Logs mit deinem Spamproblem zu tun? Wenn sie in den Logs stehen ist es schon zu spät. Vorher abfangen, Log Eintrag anonymisieren.

  13. Allinkl + WordPress…das…das bin ja ich! Danke für den coolen Artikel. Dachte eigentlich meine Checkliste zum Abarbeiten wäre komplett, aber habe bei Dir tatsächlich noch ein paar Punkte gefunden- Danke Patricia! <3 LG!

  14. Gute Scheißtipps!

    Falls nach dem Einbinden von Let’s Encrypt noch kein grünes Schloss erscheint, empfehle ich das Plugin Really Simple SSL. Das behebt u. a. Mixed Content-Konfikte.

  15. Super Zusammenfassung! Vielen Dank dafür. Werde meine Seiten (privater Blog, Vereinswebseiten) noch mal gegen diese Liste abgleichen.

  16. Vielen Dank für deine Zusammenfassung und ich war ein bisschen stolz, dass ich die letzten Monate seit Anfang des Jahres alles so peu à peu gemacht hatte. Auch wenn es einfacher gewesen wäre, wenn ich deine Liste schon vorher gekannt hätte. Aber eine neue Sache habe ich bei dir gefunden die ich noch nicht kannte daher ein dickes … DANKESCHÖN,

    Aber ich vermute, das war noch nicht alles… Denn wie sagte den Tag ein Kollege zu mir „die neue DSGVO wurde nicht für Leser/Kunden etc. gemacht, sondern für die Industrie, die daran verdient“ Mittlerweile sehe ich es genauso, wenn ich sehe, woran man bei den Einstellungen alles verzweifeln kann und es am Ende doch nicht richtig ist, weil wir auch nur Laien sind. Alleine das Einbinden des SSL Zertifikat hat mich einen ganzen Arbeitstag gekostet, inklusive das ich in meine eigene Seite nicht mehr hineinkam…

    1. Sehr gerne. Tatsächlich freue ich mich zunehmend, dass ich den Artikel geschrieben habe. Ich dachte, das ist jetzt ja der Schrillionste Artikel – den liest niemand – aber scheint ja nicht so zu sein.

  17. Plugin bei den Kommentaren erweckt leider nur den Eindruck, dass es DSGVO konform wird. Leider wird die Einwilligung dann aber nirgends dokumentiert.ohne Doku bringt die nix. Zur Kommentaren: spracherkennung schickt nur die ersten 3 Wörter zur Analyse. GA ADV geht ab 25.5. Online

    1. Ohne Einwilligung kann man nicht kommentieren. Daraus kann man ableiten, dass jmd der kommentiert hat, eingewilligt hat. Da @rbl_rfm das Plugin auch verwendet, bin ich mir relativ sicher, dass es i.O. so ist.

      1. Jemand, der sich auf einer öffentlich zugänglichen Plattform bewegt und freiwillig dort einen Kommentar hinterlässt, muss nicht dokumentiert einwilligen. Man kann die Abgabe des Kommentars als konkludentes Einverständnis werden. So wie Du es umgesetzt hast, ist das m.E. vorbildlich gelöst.

        Vielen Dank übrigens für die ausführlichen Hinweise, das war sehr hilfreich.

    1. Nur „OK, Danke“ nennt sich Implied Consent Modell und ist nach meiner Recherche gültig. Hinweis muss nicht verpflichtend ein Opt out haben. Welches Plugin empfiehlst du?

  18. Danke für den Artikel! Wollte Dir gerade einen Kaffee ausgeben. Dabei würde von Paypal meine Mailadresse, bzw. mein bei Paypal gespeicherter Name an Dich übermittelt. Müsste das nicht auch noch in der Datenschutzerklärung erfasst werden? Bin mir da nicht ganz sicher…

      1. Nur wenn du diesen Dienst dann auch erwähnst. Eine pauschale Genehmigung aller Dienste gibt es meines Wissens nach nicht, sondern jeder Dienst, den man selber auf seiner Seite einbindet muss man in der Datenschutzerklärung darlegen.

        Zusätzliche Hinweise:

        Nicht unbedingt notwendige Cookies dürfen nach meinem Verständnis erst nach Genehmigung gesetzt werden.

        Name bei Kontaktformularen darf kein Pflichtfeld mehr sein, da der Name nicht zwingend notwendig ist um mit jemandem zu kommunizieren.

        Ein Kontaktformular zum anfordern der persönlichen Daten hinzu zu fügen wäre sinnvoll.

        Ansonsten ist eine Überprüfung der eigenen Webseite (auch einer Beitragsseite) mit https://webbkoll.dataskydd.net/en auch sehr aufschlussreich.

        1. Kontaktformular hat ja dann wieder eigene DSGVO Erfordernisse. So wie ich informiert bin, genügt die E-Mailadresse in der Datenschutzerklärung zur Kontaktaufnahme.

          1. Die Erfordernisse sind aber nichts kompliziertes. Das entspricht dem, was auch beim Kommentarfeld gilt. (Auch hier stellt sich nebenbei gesagt die Frage, ob ein Name ein Pflichtfeld sein darf oder ob die Kommentare technisch auch ohne Namen abgespeichert und veröffentlicht werden könnten. Wenn ja, wäre möglicherweise in der Datenschutzerklärung auf die ‚Notwendigkeit‘ der Speicherung des Namens zur besseren Zuordnung hinzuweisen. So die Auskunft die ich von verschiedenen Anwälten zu dem Thema bekommen habe.)

            Klar reicht eine E-Mail-Adresse, aber ein Kontaktformular mit Antispam-Schutz und der Einverständniserklärung zur Speicherung sowie einer Checkbox, mit der der Nutzer seine Daten anfordern kann, vereinfachen den Prozess. Man kann halt leichter erkennen, was gewünscht wird und dann dem Ablauf folgen, den WP mit der Version 4.9.6 ab 15.05. dann ermöglicht.

            Der andere Punkt der DSGVO ist die generelle Datensparsamkeit die faktisch verordnet wird (um bei dem Vergleich zur Pharmaindustrie zu bleiben :) ) Und es stellt sich nun einmal die Frage, was auf einer gewerblichen Webseite (wie auch auf deiner) für den Internetauftritt des eigentlichen Gewerbes notwendig ist. Wenn z.B. die gewerbliche Seite eines Malerbetriebes wirklich Werbebanner von Amazon und Google braucht um zu überleben, sollte der Betrieb wohl eher sein Fach wechseln ;) Aber das werden nach aktuellem Stand wohl irgendwann Gerichte entscheiden müssen.

            Auch wird ja mehr oder weniger verlangt sicherheitstechnisch auf dem aktuellen Stand zu sein. Wie dann gemischte Inhalte (https & http) auf einer Webseite zu behandeln sind ist ja auch nur ‚theoretisch‘ klar. Eigentlich müssten demnach alle Webseiten generell nur noch mit https arbeiten. Und wenn dann auch noch unsichere Scripte mit angeboten werden (wie auch hier auf der Seite) stellt sich diese Frage doppelt.

            Zu deinem Cookie-Text ergibt sich dann noch die Frage, ob dieser überhaupt ausreichend ist. Denn du verwendest eben nicht nur Cookies sondern verschiedenste andere Dienste, die zwar in der Datenschutzerklärung aufgeführt werden, aber auf die der Nutzer nicht hingewiesen wird. Für einen „Laien“ sieht es so aus: „Diese Webseite benutzt nur Cookies für die Verwendung auf dieser Webseite. Meine Daten bleiben somit auf dieser Webseite“.

            Ein aussagekräftigerer Text wäre eventuell sinnvoller (zumindest auch wieder etwas, dass mir verschiedene Anwälte mitgeteilt haben). Eventuell so etwas wie „Informationen zur Datensicherheit & Cookies: Die Webseite speichert einige Daten um die Funktionen gewährleisten zu können, benutzt Cookies und tauscht Informationen mit ausgewählten Partnerdiensten aus. Wenn Sie die Webseite weiter benutzen, stimmen Sie der Speicherung und Verwendung der Daten für diesen Zweck zu. Weitere Informationen finden Sie dazu in der Datenschutzerklärung“.

            Bisher habe ich auf den über 60 Webseiten die ich überprüft und die DSGVO-Konformität soweit vorbereitet habe nirgendwo echte Schwierigkeiten gehabt. Nur rein private Webseiten/Blogs, deren Betreiber anonym bleiben wollen haben aufgrund des TMG immer wieder ein Problem, da sie normalerweise auf werbefinanzierte Angebote zurückgreifen und somit laut Ansicht verschiedenster Fachleute (nein, die sind sich nicht alle einig) eben nicht mehr als Privat einzustufen sind. Aber ich schweife vom Thema DSGVO ab ;)

            DSGVO fordert: Haltet eure Webseiten sauber & sicher und informiert eure Nutzer darüber was ihr mit den Daten macht. Gebt ihnen zusätzlich die Möglichkeit ihre eigenen Daten anzufordern und zu löschen. Speichert nur das was unbedingt notwendig ist.

            P.S.: Nein, das ist keine Rechtsberatung und es gibt auch keinerlei Haftung für die hier getätigten Aussagen.

  19. Also ich habe den Teil mit der Rücksendebriefmarke bei Google überlesen und einfach den Vertrag hingeschickt.

    Er kam auch wieder zurück, also schein Google portotechnisch durchaus generös zu sein ;-).

    Liebe Grüße
    Danielle

  20. Vielen, vielen herzlichen Dank für die Mühe!!
    Ich habe auch schon ein paar Stunden vor dem Rechner verbracht und mich mit dem Thema beschäftigt, aber habe jedes Mal frustriert aufgegeben, weil immer wieder etwas neues aufgetaucht ist, das ich nicht verstanden habe bzw. recherchieren musste.

    Ich habe nur eine klitzekleine Anmerkung: Das Plugin heißt Akismet (nicht Askimet), aber den Buchstabendreher darf ich behalten, oder? *gerahmt zu den anderen hängt* ;-)

    Herzlichen Dank nochmal! :-)

  21. Antispam Bee darf indes u.a. keine öffentliche Spamdatenbank abfragen, um konform zu bleiben. Habe ich bei den WP-Ninjas gelesem. Die haben eine schöne Liste zu WP-Plugins und deren DSGVO-Konformität.

    LG johnny

  22. Sehr gute Zusammenstellung. Danke Dir!
    Hast du konkret zu den Indieweb-Plugins noch was rausgefunden? Weil da ja Fremdinhalte automatisiert ins Blog übernommen werden. Also ohne explizite Zustimmung.

    1. Wie ich es verstehe, ist die Indieweb-Funktion durch die Passage der Datenschutzerklärung abgedeckt, die sich mit Onlinepräsenzen in sozialen Medien befasst. Ich habe oben Punkt 9 ergänzt.

  23. Sehr cool. Ich habe die gleiche konstellation, allerdings ist mein blog nicht privat und ich bin keine kleinunternehmerin. da muss ich wohl nochmal ran. was hast du zu indieweb herausgefunden?

    1. Wie ich es verstehe, ist die Indieweb-Funktion durch die Passage der Datenschutzerklärung abgedeckt, die sich mit Onlinepräsenzen in sozialen Medien befasst. Ich habe oben Punkt 9 ergänzt.

    1. Wir haben schon vor einiger Zeit alle Blogs von uns und unserer Kunden komplett auf AntispamBee gewechselt und das Plugin macht seinen Job hervorragend.

Reposts

  • Soziopod
  • Codo
  • Marian Schraube
  • Wolfgang Michal
  • Rochus Wolff
  • Liese Müller
  • Robert Haller
  • Frau unter 60
  • wachsen und lernen
  • bildstrich
  • Perlenmama
  • rage
  • Andreea Tribel
  • Stefan Lang
  • David Lucas
  • Doris Aschenbrenner
  • Jan Giessmann
  • Florian
  • Daniel Molkentin
  • Sebastian
  • Maxim Loick
  • BH Lounge
  • Karin Liau
  • Fraeulein Nebel
  • Mac MacKenzie
  • Philipp Schroegel
  • Hubertus von Hosenlose
  • Steve Rueckwardt
  • ??????????™ ??? ›?? #remove?
  • jaxxo
  • Adora Belle

Mentions

  • Oliver
  • 19 KW 2018 – HappyBuddha
  • Ein kleiner Exkurs zur DSGVO • Kettenritzel.cc
  • Martin Lindner
  • Stevee
  • Heiko Bielinski

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Sie möchten einen Kommentar hinterlassen, wissen aber nicht, was sie schreiben sollen? Dann nutzen Sie den KOMMENTAROMAT! Ein Klick auf einen der Buttons unten trägt automatisch die gewählte Reaktion in das Kommentarfeld ein. Sie müssen nur noch die Pflichtfelder "Name" und "E-Mail" ausfüllen und den Kommentar abschicken