In der Vergangenheit habe ich ein Impressum und eine Datenschutzerklärung auf meinem Blog eingebunden, damit war ich juristisch auf der sicheren Seite. Doch mit der neuen Datenschutz-Grundverordnung, die am 25.05.2018 in Kraft getreten ist, ändert sich alles.
Zu den Rahmenbedingungen: Ich betreibe mein Blog privat, hauptsächlich rezensiere ich Bücher, Musik und Filme. Gelegentlich schreibe ich auch Tipps für den Computer und ähnliche Themen. Auf Empfehlung von Video-Bloggern habe ich Amazon Verkaufslinks auf den Seiten eingeblendet, um etwas Provision zu „verdienen“. Alles war ordnungsgemäß in der Datenschutzerklärung aufgeführt.
Nach den neuen Bedingungen der DSGVO ergeben sich für mich neue Verpflichtungen. Erhebe ich personenbezogene Daten, dann muss ich Art und Zweck der Daten angeben. Gebe ich diese Daten an andere Personen oder Firmen weiter, muss ich die Benutzer darüber informieren und ihnen die Möglichkeit geben, dem zu widersprechen. Schlimmer noch: Ich muss eine Möglichkeit schaffen, meine Webseite auch dann noch zu nutzen, wenn ein Benutzer der Datenweitergabe an Dritte widersprochen hat. Jetzt wird es kompliziert.
Mit dem Netzwerkmonitor im Browser habe ich mit Schrecken festgestellt, welche externen Seiten alle angesprochen werden, wenn ich meinen eigenen Blog aufrufe. Da werden Informationen bei Google abgerufen, bei Amazon, bei Gravatar und noch einigen anderen Seiten. Und damit das Ganze technisch funktioniert, musste selbstverständlich (mindestens) die IP-Adresse des Blog-Lesers übermittelt werden. Die IP-Adresse aber wird von deutschen Gerichten zu den personenbezogenen Daten gerechnet. Damit fällt sie unter die neue Verordnung, selbst wenn ich weder Namen noch sonstige Daten des Nutzers übermittle.
Also habe ich alle Bestandteile meines Blogs analysiert. Im Sinne der Datensparsamkeit, wie sie vorgeschrieben ist, habe ich eine Liste der Dienste erstellt, auf die ich in Zukunft verzichten werde. Da ist zunächst einmal das Partner-Programm von Amazon. Im Verlauf von einem Jahr sind auf meinem Account Provisionen von insgesamt ca. 15 Euro aufgelaufen, frühestens ab 25 Euro erfolgt jedoch eine Auszahlung. Also steht der wirtschaftliche Erfolg in keinem Verhältnis zum Aufwand. Statt unzählige Links in die Seiten einzubauen hätte ich lieber zweimal beim Nachbarn Straße kehren sollen, da wäre der Gewinn schon höher und vermutlich auch real in meine Tasche geflossen. Also weg mit den Werbebannern.
Die Statistiken, die Google für mich erhoben hat, waren auch nicht aussagekräftig, also ebenfalls weg damit. Gravatar blendet bei Blog-Kommentaren das hinterlegte Bild des Schreibers ein, wenn dieser sich mit seiner Email Adresse bei diesem Dienst registriert hat. Das waren die Wenigsten und im Zweifelsfall hätte ich noch die Rechte anderer verletzt, wenn jemand eine falsche, aber gültige Adresse angibt. Auch darauf verzichte ich ab sofort. Einige Themes verwenden lizenzfreie Schriftarten, um das Aussehen der Webseite zu steuern. Diese werden aber nicht auf meinem Server gespeichert, sondern direkt bei Google oder anderen Diensten heruntergeladen. Wieder eine unnötige Datenübermittlung. Manche Open-Source-Lizenzen freier Schriftarten gestatten, diese vom eigenen Server auszuliefern, ich habe mich entschieden, völlig auf externe Schriftarten zu verzichten. Ähnliches gilt für Emojis, Bilder oder Videos, die von fremden Anbietern nachgeladen werden. Alles muss raus. Jetzt ergibt eine erneute Netzwerkanalyse, dass alle Elemente der Seite von meinem Server abgerufen werden.
Manche Dinge kann ich nicht abstellen, zum Beispiel das Hosting der Webseite. Ich will mir ja nicht einen eigenen Server ins Schlafzimmer stellen. Für diese Zwecke muss ich den Nutzer informieren. Am leichtesten ist das regelkonform umzusetzen, indem ich mit dem Serverbetreiber einen sogenannten „Vertrag zur Auftragsverarbeitung“ abschließe, in dem der Anbieter mir den sauberen Umgang mit den anvertrauten Daten zusagt. Diesen Vertrag kann man bei den meisten Webhostern kostenlos für bestehende Verträge anfordern.
Dann müssen noch einige neue Dokumente her: Das Impressum kann unverändert bleiben. Die Datenschutzerklärung muss nun alle Fälle von Datenspeicherung und -übermittlung schriftlich aufführen. Um auf Nummer sicher zu gehen, erstelle ich zusätzlich ein Verfahrensverzeichnis, das jetzt „Verzeichnis der Verarbeitungstätigkeiten“ heißt.
Auch technisch gibt es Änderungen: Jede Webseite, die fremde Daten annimmt oder verarbeitet, muss diese ausreichend verschlüsseln. Da ich die Kommentarfunktion nicht abschalten möchte, werde ich die Seite noch auf sicheren Datentransfer mittels HTTPS umstellen. Nur wenige Anbieter haben das schon ohne Aufpreis in ihre Hosting-Angebote aufgenommen. In meinem Fall wäre das im ersten Jahr kostenfrei, würde danach jedoch mit 5 Euro pro Monat zu Buche schlagen, zuviel für mein Budget. Zum Glück gibt es seit einiger Zeit die Aktion „Let’s Encrypt“, die kostenfreie Zertifikate für die verschlüsselte Datenübertragung anbietet. Die Einrichtung ist einigermaßen aufwändig, aber ich habe für alle Schritte gute Anleitungen im Internet gefunden.
Zuletzt habe ich noch die eingesetzten Plugins überprüft. Das Tool für die Besucherzählung (Statify) war bereits datenschutzkonform. Das Add-on zum Schutz vor Kommentar-Spam habe ich durch eine DSGVO kompatible Version (Antispam-Bee) ersetzt. Zusätzlich habe ich das Plugin Remove Comment IPs installiert, das mir nach einigen Tagen die IP-Adressen der Schreiber von Blog-Kommentaren aus der Datenbank löscht. Dieses Plugin habe ich durch manuellen Eingriff in den Quelltext auf 7 Tage reduziert. Zuletzt fehlt noch Cookie Notice, das mir den allgegenwärtigen Cookie-Hinweis einblendet und die Bestätigung dokumentiert.
Alle Arbeitsschritte habe ich schriftlich festgehalten und veröffentliche sie hier. Natürlich weise ich ausdrücklich darauf hin, dass ich kein Jurist bin und es sich bei der Arbeitsanweisung um einen unverbindlichen Vorschlag handelt. Die Inhalte verdanke ich vielen anderen Ideengebern im Internet, ich habe sie lediglich in eine kompakte Form gebracht. Vielen Dank an alle, die mit dazu beitragen, dass auch Laien einigermaßen sicher durch den Dschungel der neuen Verordnung kommen. Für alle, die das noch nicht erledigt haben, stelle ich meine Checkliste kostenfrei zur Verfügung. Verwendung auf eigene Gefahr.
Fazit: Alles in allem hat mich die Umstellung ca. drei Tage Arbeit gekostet, mein Blog ist jetzt werbefrei, mit frischen Plugins versehen und wird verschlüsselt übertragen. Nach Beendigung meiner Anpassungen stelle ich fest, dass die neue Datenschutz-Grundverordnung vor allem ein Bürokratie-Monster ist und Privatleute und kleine Unternehmen vor große Schwierigkeiten stellt. Gemessen am Anspruch, vorwiegend internationale Konzerne der Internetwirtschaft damit besser steuern zu können, empfinde ich, dass hier mit Kanonen auf Spatzen geschossen wird. Aber gut, ich habe mich nach bestem Wissen und Gewissen darauf eingestellt und wende mich nun wieder den schönen Seiten meines Hobbys zu.
Zum Download:
Checkliste Umstellung WordPress (Format: Microsoft Word .docx)
Checkliste Umstellung WordPress (Format: PDF – zum Ausdrucken)
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz.
Icons made by Freepik from www.flaticon.com is licensed by CC 3.0 BY