Der zweite Teil meiner Beitragsserie befasst sich noch mit etwas grundsätzlicheren Themen, wie zum Beispiel der Hosting-Server Strato, auf dem ich meine WordPress-Installation laufen habe. Aber auch Hinweise zu SSL, Cookies und zum Verarbeitungsverzeichnis. Dies sind erstmal noch wichtige Dinge, bevor wir in die Tiefen der WordPress-Pluginwelt absteigen…
Dies sind nur allgemeine Hinweise und Denkanstöße bezüglich der am 25. Mai 2018 in Kraft tretenden DSGVO. Ich bin weder Juristin und auch keine Datenschutzbeauftragte. Dieser Artikel stellt keine Rechtsbelehrung oder Rechtsberatung dar. Es sind lediglich durch Recherchen zusammengetragene Informationen, für die ich keine Gewähr auf Richtigkeit, Vollständigkeit, Aktualität übernehme und ebenso keinerlei Haftung für mögliche Rechtsfolgen.
Kapitel 2: Hosting Server Strato & Co
Strato und die ADV
In dem Moment, wo Du Nutzerdaten auf fremden Servern speicherst, oder speichern lässt – auch wenn der Nutzer von außen nichts davon mitbekommt wie z.B. Logfiles oder Backups, Tracking über Google Analytics und ähnliche Dienste – musst Du mit diesen Drittanbietern eine sogenannte Auftragsdatenverarbeitung vereinbaren (ADV). Da die Strato AG alleine schon IP-Adressen der Besucher Deiner Webseite für deren Log-Files speichert, gehört Strato ebenfalls zu einem Drittanbieter (ebenso wie andere Hoster wie 1&1 etc.).
» Fragen zur Auftragsdatenverarbeitung (ADV) und der neuen EU-Datenschutzgrundverordnung (DSGVO)
Laut Strato selber wird dort gespeichert:
Beim Aufruf Ihrer Webseite durch Besucher werden die IP-Adressen dieser Besucher erfasst und in Logfiles gespeichert. Die IP-Adressen der Besucher Ihrer Webseiten speichern wir zur Erkennung und Abwehr von Angriffen maximal sieben Tage.”
Von diesen Logfiles bekommen Du und Deine Besucher nichts mit und kannst sie auch nicht abstellen lassen. Auch Backups, die Strato eigenhändig und automatisiert von allen ihren Webspaces anlegt, beinhalten ebenfalls Nutzerdaten. Denn in diesen Backups werden auch alle Datenbanken mit gespeichert. In diesen Datenbanken befinden sich dann sämtliche Nutzerdaten, wie Kommentare, Namen, E-Mail-Adressen, IP-Adresse (und eventuell mehr) von Deinen Nutzern, die jemals in Deinem Blog kommentiert oder abonniert haben, oder ähnliche Interaktionen getätigt haben. Auch die Logfiles Deiner Sicherheits-Plugins gehören dazu!
Also, was gilt es nun zu tun?
Mit Strato eine ADV vereinbaren:
Wenn Du nicht Kunde bei Strato bist, kläre bitte unbedingt mit Deinem Hoster, ob er eine ADV mit Dir vereinbart. Wenn nicht, würde ich mir überlegen, ob ich bei diesem Anbieter bleiben würde.
ADV mit Drittanbieter vereinbaren:
Für sämtliche Drittanbieter, die Du nutzt, musst Du ebenfalls eine ADV vereinbaren! Zum Beispiel: Google für Google Analytics, auch wenn Du eine “Opt-Out” Variante nutzt (löschen vom Third-Party Cookie durch den Benutzer). Speicherst Du Backup-Files in eine Cloud (zB Google Drive, Dropbox, Microsoft OneDrive, Amazon, etc. pepe) musst Du auch mit diesen Anbietern eine ADV vereinbaren. Zu Drittanbietern möchte ich in einem späteren Kapitel noch mal genauer drauf eingehen.
Plugins auswählen, die auf eigenem Server speichern (WordPress-Datenbank)
Für die meisten Drittanbieter gibt es gute Alternativen, die die Nutzerdaten nicht auf externen Servern speichern, sondern in Deine Datenbank. Hier greift dann wieder die ADV mit Strato.
Zu manchen Plugins gibt es keine DSGVO-taugliche Alternative, oder sind explizit gewollt – wie zum Beispiel Google Analytics. Hier sollte man aber auf jeden Fall prüfen, wie man diese Plugins korrekt für die DSGVO einstellt (zum Beispiel anonymisieren der IP), und wie man diese dann auch korrekt in der Datenschutzerklärung benennt und die Nutzung begründet. Denn die Speicherung von gerade IP-Adressen und personenbezogener Daten sollte auf einem begründeten Interesse basieren.
Plugins prüfen und evtl. Einstellungen korrigieren
Einige Plugins können auch mit ein paar Einstellungen schnell und einfach so eingestellt werden, dass sie nicht Daten auf fremden Servern speichern. So wie zum Beispiel mein Backup Plugin “BackWPup”. Hier kann ich einstellen, dass meine sämtlichen Backup-Dateien per FTP auf dem Server gespeichert werden sollen, auf der auch meine WordPress-Instanz läuft. Dann greift hier nämlich auch meine ADV mit Strato.
Dazu aber in einem späteren Artikel mehr! Hier geht es mir vorerst nur um Strato und die ADV.
SSL-Zertifikat für HTTPS
Eine sichere Verbindung zu Deiner Webseite über SSL ist zwar für die DSGVO (noch) nicht zwingend notwendig. Sobald Du aber Daten von Deinen Nutzern abfragst und persönliche Informationen zwischen Deinem Nutzer und Deiner Webseite ausgetauscht werden, wie zum Beispiel E-Mail-Adressen, Klarnamen, Geburtstage, etc. solltest Du auf jeden Fall über ein SSL-Zertifikat nachdenken. Vor allem, wenn Passwörter verwendet werden, denn bei einer nicht sicheren Verbindung können diese Daten von unbefugten Dritten abgefangen werden.
Das schöne, Strato bietet schon seit einiger Zeit zu jedem Hosting-Paket ein kostenloses SSL-Zertifikat an. Wenn Du aber mehrere Domains in einem Paket verwaltest, kannst Du dieses SSL-Zertifikat nur einer Domain zuweisen. Alle Zusätzlichen SSL-Zertifikate für weiteree Domains Deines Pakets musst Du dann dazu kaufen, und das kann dann leider recht teuer werden.
Bei mir benutze nur ich mein Passwort für den Zugang zum Admin-Dashboard, aber trotzdem habe ich das SSL-Zertifikat für meine Domain eingerichtet.
Es gibt kostenlose Zertifikate wie zum Beispiel bei “Let’s Encrypt”, diese sind wohl aber nach aktuellem Stand noch nicht mit Strato benutzbar.
Cookies
Cookies sind Informationen, die von einer Webseite auf dem Computer des Nutzers gespeichert werden. Diese Informationen werden beispielsweise dazu genutzt, um einen Nutzer bei seinem nächsten Besuch auf der Webseite wiederzuerkennen oder um seine Einstellungen zu speichern. Im allgemeinen unterscheidet man zwischen sogenannten First Party Cookies und Third Party Cookies. First Party Cookies werden von deiner Webseite selbst gespeichert. Third Party Cookies von anderen Diensten, die Du auf Deiner Seite nutzt. Beispielsweise Google Analytics.
Du musst Deinen Besucher darauf hinweisen, dass Deine Webseite Cookies benutzt. Dies machst Du in einer Cookie-Policy, die du entweder in Deine Datenschutzerklärung integrierst, oder eine eigene Seite erstellst, so wie ich. Wichtig ist dabei eine sogenannte Cookie-Notice, eine Notiz, die gleich beim ersten Besuch auf Deiner Seite erscheint und in der der Besucher diese aktiv zur Kenntnis nehmen muss. In dieser Notiz sollte auch stehen, wo der Benutzer Deine Cookie-Policy findet, am besten gleich mit einem Link dahin. In der Cookie-Policy selber kannst Du auch den Besucher darauf hinweisen, wie er seinen Browser einstellen und seine Cookies verwalten kann.
Hier gibt es einen guten Artikel über Cookies und die neue DGSVO:
» DSGVO: Ab Mai gilt die Cookie-Pflicht – So vermeidest du Strafen, Artikel von Alexandra auf gründer.de
Bisherige Cookie-Notices Plugins geben nur einen Hinweis, dass Cookies verwendet werden. Ob aber der Webseitenbetreiber nun auch noch die Zustimmungen protokollieren muss (Opt-In), wird wohl noch aus verschiedenen Gründen kontrovers diskutiert. Hier bin ich im Moment noch überfragt. Ich nutze noch das kostenlose Plugin “Cookie Notice”. Im Moment reicht wohl noch der Hinweis und eventuell die Möglichkeit für den Nutzer, die Speicherung von Cookies abzulehnen. Ihr solltet Euch aber in diesem Punkt immer auf dem Laufenden halten.
» Hinweispflicht für Cookies, Artikel von Sören Siebert auf e-recht.de, schon etwas älter.
Verarbeitungsverzeichnis
Inzwischen scheint es wohl klar zu sein, dass auch private Blogger nicht nur “gelegentlich Nutzerdaten” erheben, also anscheinend nicht von der Pflicht eines Verarbeitungsverzeichnisses befreit sind. Sprich, wir (Buch-)Blogger, die ja von Nutzerdaten abhängig sind und Kommentare generieren wollen, um für unsere Leserschaft interessant zu sein, haben sehr wohl ein Interesse daran, Daten zu erheben und zu speichern. Alleine das Speichern eines Kommentars mit IP-Adresse und E-Mail-Adresse ist so ein Fall.
Es gibt inzwischen schon einige gute Vorlagen und Artikel über das Anlegen und Führen eines Verarbeitungsverzeichnisses. Ich denke als privater Buchblogger ist das auch nicht ein so großer Aufwand.
Im Grunde finde ich das eine gute Möglichkeit, sich alle Plugins und Systeme anzusehen, mit denen man als WordPress-Blogger arbeitet und sich selber auch mal einen Überblick darüber verschafft, was denn eigentlich wie und wo gespeichert wird. Deswegen führe ich das Verarbeitungsverzeichnis auch schon an dieser Stelle ein. Anhand der Liste kann man sich ganz gut durch seine Plugins arbeiten und die entsprechenden Informationen eintragen. Und dann auch ggf. Plugins modifizieren, oder löschen und vielleicht Alternativen suchen.
Hier gibt es eine ganz gute Vorlagen und How-tos:
- » EU-Datenschutz-Grundverordnung (DSGVO): Muster-Verarbeitungsverzeichnis für Verantwortliche, von der Wirtschaftskammer Österreich (WKO)
- » DSGVO – Verarbeitungsverzeichnis How-To, Artikel von Harald Dvorak
Lokal gespeicherte Daten
Übrigens gehört dazu auch, wenn Du zum Beispiel ein Gewinnspiel auf deinem Blog veranstaltest und Du die Nutzerdaten auf deinem PC in einer Liste einträgst um daraus vielleicht einen Gewinner zu ermitteln. Dann nutzt Du sehr wohl die Daten Deiner Nutzer und bist verpflichtet, diese Liste in Dein Verarbeitungsverzeichnis mit aufzunehmen. Auch wenn diese Liste lokal auf Deinem Rechner gespeichert ist.
Weiterführende Links & Unterstützung
Ich kann leider nicht alle Links und Artikel hier aufführen, die ich im Laufe meiner WordPress-Administration besucht habe. In der letzten Zeit habe ich aber immer wieder bei diesen Artikeln vorbeigeschaut und mir dort wertvolle Tipps und Denkanstöße geben lassen:
- » DSGVO Leitfaden, Artikel von Martina Honecker
- » DSGVO Checkliste für Blogs, Artikel von Ritchie Pettauer auf datenschmutz.net
- » WordPress & DSGVO, Sammlung von Jonas Tietgen von WP Ninjas
- » WordPress Tutorials, Sammlung von René Dasbeck
- » DSGVO Leitfaden für Blogger, Artikel von Sabrina in Lesefreude.at
Und alle weiteren Artikel, die ich hier und in allen Beiträgen meiner Beitragsserie erwähne.
Vielen Dank auch an Josy, die hier immer wieder mal einen Blick drüber wirft und mich im technischen Bereich gerne mal unterstützt 😉
Bitte beachtet: Diese Beitragsserie gibt nur einen Einblick in meine Überlegungen und Recherchen. Ich kann hier keine allgemeingültige Lösung bieten, sondern nur Denkanstöße. Die eierlegende Wollmilchsau gibt es leider nicht. Das hängt auch stark von dem ab, wozu Du Deinen Blog benutzt, und was Du alles damit machen möchtest.
Beitragsserie: TheUjulala & WordPress – wie mache ich meinen Buchblog fit für die DSGVO?
» Kapitel 1: WordPress & Sicherheit
» Kapitel 2: Hosting Server Strato & Co
» Kapitel 3: Plugins & DSGVO (geplant)
» Kapitel 4: DSGVO Maßnahmen & Die Datenschutzerklärung (geplant)
» Kapitel 5: Drittanbieter & Alternativen (geplant)
![TheUjulala & Wordpress - wie mache ich meinen Buchblog fit für die DSGVO? [KAP2]](https://www.theujulala.de/alt/wp-content/uploads/2018/10/nana-logo-signet-512x-201702.jpg){kind=logo}
Mit etwas über 40 Jahren auf dieser Welt lebe ich mit meiner Familie und einem Hund in Bayern. Am liebsten lese ich im Moment Romantasy, Jugendbücher, Fantasy, Young Adult und New Adult. Mir gefällt vor allem die Mischung aus Spannung und Romantik. » Alle Beiträge von Nana Shar