dsgvo-monster

it-zeugs.de und die Datenschutzgrundverordnung (DSGVO)

In diesem Beitrag erfährst du, wie ich die Datenschutzgrundverordnung (DSGVO) mit meinen Webseiten umgesetzt habe und wie ich den Datenschutz weiterhin verbessere

Meine Webseiten sind:

Ein Sonderfall stellt meine mit dem Online-Editor von Weebly erstellte Website daniel-meyer.com dar.  Alle anderen Seiten verwenden WordPress als CMS. Bei Weebly bin ich darauf angewiesen, dass Weebly da rechtskonform ist.

Achtung! Ich bin kein Anwalt. Dies ist keine Rechtsberatung. Möglicherweise habe ich einen wichtigen Schritt übersehen, daher nimm den Artikel höchstens als Empfehlung. Wie immer gilt: Alle Informationen ohne Haftung!

Was ist die Datenschutzgrundverordnung (DSGVO)?

Die Datenschutzgrundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Darüber ist soviel geschrieben worden, dass ich das hier nicht noch einmal nachholen will. Mehr gibt es zum Beispiel bei Wikipedia.

Macht die Datenschutzgrundverordnung (DSGVO) Spass?

Die DSGVO entspricht einer sinnvollen Idee. Doch wurde hier ein ziemliches Bürokratie-Monstrum geboren. Nicht nur der Großkonzern muss diverse Maßnahmen treffen. Auch der kleine Blogger ist betroffen. Er muss das DSGVO – zumindestenst auf dem Papier – im gleichen Mass erfüllen, wie Riesen wie Google oder Facebook. Statt mich damit zu beschäftigen, hätte ich stattdessen lieber spannende neue Beiträge produziert. Anderseits war ich durch die Beschäftigung mit dem Thema gezwungen, genauer die ein oder andere Funktion zu prüfen und das ein oder andere ganz über den Haufen zu werfen.

Datenschutzbeaufragter? Das bin dann mal ich.

Da meine Websites ein Hobby-Projekt von mir sind und ich diese alleine betreibe, habe ich natürlich auch alle Rollen gemäss DSGVO inne.

Das ganze ist ein privates Projekt. Ja, ich verdiene mir mit der Werbung ein (Taschen-)Geld und damit ist das streng genommen nicht mehr privat. Ich habe mein Wohnsitz aber in der Schweiz und hier darf ich ohne Angabe etwas Geld nebenberuflich selbstständig erwerben und da ich von dieser Grenze weit weg bin, sehe ich mich nach wie vor als Privatmann.

Habe ich bisher etwa deine Kundendaten weitergegeben?

Ganz klar NEIN. Ich erfasse E-Mail-Adresse und Vorname ja eh nur mit der Newsletter. Ansonsten kann jeder im Kommentarfeld seine Daten hinterlassen. Diese Daten habe ich selbstverständlich nie weitergeleitet. Laut DSGVO ist aber auch die IP, mit der du meine Website besuchst, ein relevantes Datum. Und diese wird unter Umständen über Plugins an dritte weitergegeben.

Der Einschätzung, eine IP als relevantes Datum einzuschätzen, kann ich nicht folgen. Über die IP kann Hans Mustermann nur in Ausnahmefällen die tatsächliche Person dahinter feststellen. Genaugenommen nur, wenn du eine sogenannte fixe IP hast. Ansonsten sehe ich höchstens deinen Provider. Würdest du etwas strafrechtlich relevantes anstellen und ich dich anzeigen, dann könnte die Staatsanwaltschaft mit Hilfe der Logs deines Providers dich allerdings ausfindig machen. Aber wie du siehst, ist das nicht so einfach möglich.

Welche Daten speichere ich von dir bzw. welche relevanten Funktionen nutze ich?

  • Vorname, E-Mail-Adresse – falls du dich zur Newsletter anmeldest
  • Kommentar, Name, E-Mail-Adresse, Website, IP – falls du einen Kommentar hinterlässt
  • IP-Adresse
  • Cookies – Speichere ich nicht selber, aber wird von verschiedenen Plugins / Funktionen benötigt

Das schien zunächst einmal alles zu sein. Ich verwende aber Google Anlaytics, was die folgenden Daten speichert:

  • Land und Stadt (über IP feststellbar)
  • Sprache
  • Betriebssystem
  • Gerät (PC, Tablet-PC oder Smartphone)
  • Browser und Addons
  • Auflösung des Computers
  • Besucherquelle
  • Geöffnete Websites
  • Betrachtete Videos
  • Geöffnete Werbung
  • Nächste Internetadresse nach Verlassen der Seite
  • Besuchsdauer

Das ist jede Menge, das sollte es aber auch dann fast gewesen sein.

Auch YouTube-Videos habe ich eingebunden, die ebenfalls Daten erfassen. Beim Besuch der betreffenden Seite werden diverse Cookies in deinem Browser gesetzt. Außerdem wird eine Verbindung zum Google-Werbenetzwerk DoubleClick aufgebaut.

Ich habe diverse Werbebanner, die zum einen  Cookies verwenden, zum anderen aber auch speichern, welche Werbung geöffnet wurde. (Update: Das habe ich jetzt deaktiviert, ich weiß aber derzeit noch nicht, wie ich das testen kann).

Newsletter

Als Anbieter der Newsletter verwende ich Mailchimp. Dies ist ein bekannter Dienst mit Sitz in den USA. Deine Daten landen nur im System, wenn du ausdrücklich zugestimmt hast. Zwar kann theoretisch jeder deine E-Mail-Adresse eintragen, aber wenn du im E-Mail, dass du darauf erhälst, die Eintragung nicht bestätigst, werden die Daten nicht gespeichert.

Die Daten selber werden in dem Fall bei Mailchimp gespeichert. Ich habe das erforderliche Data-Processing-Agreement mit Mailchimp abgeschlossen. Du findest diese hier: Mailchimp-Customer_EU_Data_Processing_Addendum.

Newsletter-Zustimmung neu anfordern?

Einige Anbieter, bei denen ich mich für deren Newsletter eingetragen habe, fordern jetzt eine erneute Zustimmung. Ich habe jedoch keinen Hinweis gefunden, dass das aufgrund der Datenschutzgrundverordnung nötig wäre. Ich denke, dass diese Anbieter übervorsichtig sind. Ich habe sämtliche Adressen durch Optin-Verfahren erfasst. Das heißt, du musstest explizit nach Angabe deiner Daten nochmal der Newsletter zustimmen. Das war also bereits schon immer DSGVO-konform.

Kommentare

Kommentierst du einen Beitrag, hinterlässt du maximal die folgenden Daten:

  • Kommentar
  • Name
  • E-Mail-Adresse
  • Website
  • IP

Neu musst du vor dem Kommentieren noch mit dem Setzen eines Hakens deine Einwilligung geben. Dies habe ich über das WordPress-Plugin WP GDPR realisiert.

Kontaktformulare

Hier gilt das gleiche wie unter Kommentare, nur dass der Haken nicht mit dem Plugin, sondern mit einer Bestätigunsbox realisiert ist.

Google Analytics / Google Ads – erhobene Daten

Wie oben beschrieben, will Google Analytics schon bedeutend mehr wissen. Auch Google ist kein europäisches Unternehmen. Ich habe daher für alle Websites die entsprechende Vereinbarung online abgeschlossen. Diese kann man hier einsehen: https://privacy.google.com/businesses/processorterms

Die Datenspeicherung habe ich auf den kleinst möglichen Wert (14 Monate) eingestellt.

Google Analytics / Google Ads – Cookies

Beide Dienste verwenden Cookies. Cookies sollen laut DSGVO nur nach aktiver Zustimmung des Benutzers erhoben werden, außer es besteht ein berechtigtes Interesse des Website-Betreibers. Ja, ich habe dieses berechtigtes Interesse. Mit den Analysedaten will ich feststellen, welche Artikel dich besonders interessieren, um mein Angebot optimieren zu können und mit den Werbeanzeigen will ich etwas Geld dazuverdienen (siehe oben).

Bei Google Analytics habe ich kontrolliert, dass unter „Verwaltung“ > „Property“ > „Tracking-Informationen“ > „Datensammlung“ > Remarketing auf „Aus“ gesetzt ist. Ebenso „Verwaltung“ > „Property“ > „Tracking-Informationen“ > User-ID auf „Aus“. Dadurch wird eine Identifizierung und Verfolgung einzelner Personen verhindert.

Bei Google AdSense habe ich die personalisierte Werbung unter „Anzeigen zulassen und blockieren“ > „Alle eigenen Websites“ > „EU Nutzereinwilligung“  die personalisierte Werbung abgeschaltet.

Bist du damit nicht einverstanden, dann verlasse bitte meine Seite und lösche die Cookies in deinem Browser. Eine entsprechende Anleitung findest du auf der Hilfeseite deines Browsers.

Google Fonts – Cookies – echt jetzt?

Meine Websites nutzen Google Fonts. Damit sehen die Seiten etwas moderner und vor allem auf jedem Rechner absolut identisch aus. Tatsächlich wird von Zeit zu Zeit ein Cookie gesetzt, mit dessen Hilfe geprüft wird, ob es einen neuen Font gibt. Klingt blöd, ist aber so und die Google Fonts müssen bleiben, sorry.

Bist du damit nicht einverstanden, dann verlasse bitte meine Seite und lösche die Cookies in deinem Browser. Eine entsprechende Anleitung findest du auf der Hilfeseite deines Browsers.

Es ist technisch möglich, die Fonts herunterzuladen und nicht über die Google-Server einzubinden. Derzeit habe ich das noch nicht umgesetzt und werde das zu einem späteren Zeitpunkt nachholen.

Google recaptcha

Recaptcha bzw. Captcha sind diese Sicherheitscode, mit der man bestätigt, dass man kein Rechner ist, der automatisiert versucht Formulare auszufüllen. Nervt, ist aber heutzutage nötig.

Ich nutze in manchen Fällen Google Recaptcha. Auch hier wird die IP-Adresse und eventuell weitere Daten für die Funktionalität an die Server von Google übertragen.

Ich werde versuchen, die Schutzfunktion zukünftig durch einen alternativen Dienst abzubilden. Leider bedeutet das einen hohen Aufwand, da praktisch alle Lösungen auf Googles recaptcha setzen. Daher kann das noch dauern.

Bist du damit nicht einverstanden, dann nutze bitte keine Seiten, die ein Captcha von Google verwenden. Lösche anschließend die Cookies in deinem Browser. Eine entsprechende Anleitung findest du auf der Hilfeseite deines Browsers.

Amazon Werbung – Cookies

Wenn du auf meiner Website Amazon Affiliate-Links anklickst, dann wird auf deinem Rechner ein Cookie gespeichert. Wenn du innerhalb von 24 Stunden Artikel bei Amazon bestellst, erhalte ich dafür eine kleine Provision.

Bist du damit nicht einverstanden, dann klicke bitte keine Links oder verlasse meine Seite und lösche die Cookies in deinem Browser. Eine entsprechende Anleitung findest du auf der Hilfeseite deines Browsers.

Cookies allgemein

Im Vorfeld habe ich meine Seite mit dem Online-Tool https://webbkoll.dataskydd.net getestet und eine ganze Reihe von Cookies ausmachen müssen. 14 Stück, die absolute Seuche.

Das meiste kam aber von den Online-Sharing Tools. Die hatten eigentlich nur den Sinn, das einfache Teilen von Artikeln auf Facebook, Twitter und Co. zu ermöglichen. Raus damit. Stattdessen setze ich jetzt das DSGVO kompatible Plugin Shariff ein, das erst beim Teilen eine Verbindung zum Social Network aufbaut und nicht schon, wenn die Seite aufgerufen wird.

Ein normaler Aufruf der Seite generiert jetzt noch 3-4 Cookies. Update: Trotz scheinbar identischer Konfiguration haben einige Seiten noch 9 Cookies. Durch die Aktivierung der EU-Einstellungen bei den Google Ads werden jetzt aber wieder mehr Cookies geschrieben. Das ist laut Google nötig, um keine personalisierte Werbung mehr auszugeben. Verstehst du nicht? Ich auch nicht.

Youtube-Videos

Beim „normalen“ Einbetten von youtube-Videos werden ebenfalls einige Daten ausgetauscht. Das kann abgestellt werden:

  1. youtube > Teilen, Einbetten
  2. „Erweiterten Datenschutz“ aktivieren
  3. Code verwenden

Auf zukünftigen Seiten werde ich dies möglichst so machen. Da ich bisher sehr viele Videos eingebunden habe, suche ich noch nach einer Möglichkeit, das ganze in einem Rutsch zu ändern. Das habe ich derzeit noch nicht umgesetzt.

Bist du damit nicht einverstanden, dass Seiten mit Videos Daten zu den Servern von YouTube übetragen, dann verlasse bitte meine Seite und lösche die Cookies in deinem Browser. Eine entsprechende Anleitung findest du auf der Hilfeseite deines Browsers.

Gravatar

Gravatar ist der Dienst, der neben deinem Kommentar dein Bildchen anzeigt. Dabei werden natürlich munter Daten durch die Gegend geschickt. Das braucht man nicht, daher habe ich bei den WordPress-Seiten unter Einstellungen > Diskussion den Haken bei „Avataranzeige“ herausgenommen.

Smileys

Tatsächlich werden Smileys von einem externen Server nachgeladen. Daher habe ich diese ebenfalls bei den WordPress-Seiten deaktiviert. Das geht am einfachsten über folgendes Plugin: Disable Emojis by Ryan Hellyer.

Update-Service

Unter WordPress gibt es eine Funktion „Update-Services“. Als Erklärung heißt es „Wenn du einen Beitrag veröffentlichst, informiert WordPress die folgenden Dienste automatisch darüber. Um mehr darüber zu erfahren, besuche bitte die Seite Update-Services im Codex. Trenne mehrere URLs jeweils durch einen Zeilenumbruch.“

Brauche ich nicht, also raus damit (WordPress > Einstellungen > Schreiben)!

Cookie Notice

Schon länger beinahe obligatorisch scheint die olle Cookie-Notice. Du kennst das sicher, meist am unteren Rand stehen so schöne Sätze wie „Diese Website verwendet Cookies. Wenn Sie die Website weiter nutzen, stimmen Sie der Verwendung von Cookies zu.“ Danach  folgt ein Link zur Datenschutzerklärung.

Diese Funktion sieht man schon eine ganze Weile auf immer mehr Webseiten. Ob sie der DSGVO genügt, ist übrigens nicht unumstritten, denn die ersten Cookies sind schon gesetzt, bevor der Besucher das sieht. Der Besucher kann aber immerhin die Seite verlassen und die Cookies in dem Browser löschen.

Daten auf dem Web-Server

Auch mein Webhosting-Provider speichert deine Daten. Konkret ist das hier die Website. Auch hier schliesse ich also ein Abkommen zu Auftragsdatenverarbeitung ab.

Meine Websiten sind auf den folgenden Providern abgelegt:

Datenschutzerklärung

Die Datenschutzerklärung habe ich schon vor einiger Zeit überarbeitet. Allerdings sind weitere Anpassungen nötig, da noch Dienste drin sind, die längst deaktiviert wurden. 

Recht auf Auskunft

Du kannst jederzeit Auskunft darüber verlangen ob und welche Daten verarbeitet werden. Um Auskunft zu erlangen, musst du durch geeignete Mittel deine Identität nachweisen (ein E-Mail reicht hier nicht, da das Medium E-Mail nicht sicher ist). Sehe bitte eine sinnvolle Frist hierzu vor.

Recht auf Löschung

Auf Wunsch werde ich deine bei mir gespeicherten Daten löschen. Um die Löschung zu beabtragen, musst du durch geeignete Mittel deine Identität nachweisen (ein E-Mail reicht hier nicht, da das Medium E-Mail nicht sicher ist). Sehe bitte eine sinnvolle Frist hierzu vor.

Technische und organisatorische Maßnahmen (TOM)

Alle Daten sind entweder bei mir oder renommierten Firmen untergebracht, mit denen ein Abkommen zur Auftragsdatenverarbeitung  besteht (siehe oben). Bei mir erfolgt der Zugriff ausschließlich über Endgeräte, die durch Firewall, Virenschutz und regelmässige Updates abgesichert sind.

Verarbeitungsverzeichnis

Im Verarbeitungsverzeichnis ist geregelt, welche Daten wie und wo gespeichert werden und wie lange aufbewahrt. Das wichtigste erfährst du in diesem Artikel.

Todo

Es ist also nicht alles perfekt. Wenn dich das stört, bleib einfach der Seite fern. Schliesse Sie und lösche die Cookies und temporären Dateien. Wie das funktioniert, erfährst du in den Hilfeseiten deines Browsers.

Ich werde aber viele Punkte noch angehen, hier die ToDo

  • TOM ausführlicher
  • Verarbeitungsverzeichnis ausführlicher
  • Unterschiedliche Cookie-Anzahl der einzelnen Seiten trotz scheinbar gleicher Konfiguration überprüfen
  • Einbinden der YouTubeVideos
  • Google Fonts nicht von extern nachladen
  • Google Recaptcha ersetzen
  • Wie teste ich die korrekte Einbindung von Google Analytics

Weitere Quellen / Links

Allgemein

Datenschutzerklärung

Newsletter

YouTube-Videos

Google Analytics

Tools

 

Das könnte dich auch interessieren:

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.