DSGVO Checkliste

DSGVO

Bei der DSGVO dreht sich alles um den Schutz persönlicher Daten. Man könnte denken, dass ein Blog davon nicht betroffen ist, da er ja nur Artikel beinhaltet. Aber das ist falsch – man muss das gesamte Paket betrachten. So können Besucher in meinem Blog Kommentare hinterlassen und das Kontaktformular benutzen – dabei wird natürlich Name und E-Mailadresse abgefragt und gespeichert (theoretisch sogar die IP Adresse). Weiterhin blende ich Werbung ein – Werbeanbieter nutzen dabei Cookies, um herauszufinden, ob ein Besucher die Werbung angeklickt und etwas gekauft hat (dabei bekomme ich Provision). Zusätzlich muss man sich auch Gedanken darüber machen, wer mit den Daten auf meiner Website arbeitet – das ist zum Beispiel der Hoster, da er regelmäßig Updates macht, oder Google Analytics, welches das Surfverhalten der Besucher analysiert und Statistiken liefert. Ihr seht also, es ist doch nicht so einfach – zum Glück gibt es im Web schon einige Sammlungen an nützlichen Infos und Tipps, zum Beispiel hier, hier und hier.

Die folgende Liste ist nicht vollständig, sie beinhaltet aber ein paar Maßnahmen, die ich für meinen Blog umsetzen musste – ihr könnt das gerne als Checkliste für euren eigenen Blog nutzen:

1. SSL:

SSL stellt mittels Verschlüsslungsalgorithmen sicher, dass zwischen Benutzern und Websites oder zwischen zwei Systemen übertragene Daten nicht gelesen werden können. Damit wird verhindert, dass Hacker sensible oder persönliche Informationen wie z.B. Kreditkartendaten, oder eure E-Mailadressen, wenn ihr mir Kommentare hinterlasst, stehlen können. Meinen Blog hoste ich bei Webgo – dort habe ich mich für ein anderes Paket entschieden und ein SSL Zertifikat mit Let´s Encrypt erstellt. Damit ist die Sache aber noch nicht abgeschlossen, WordPress muss noch auf SSL umgestellt werden und dann sollte die ganze Website noch überprüft werden, ob auch alles passt. Wie ihr das macht, lest ihr hier.

 

2. Auftragsdatenverarbeitung:

Die meisten Hoster legen Sicherungen der Daten auf ihren Servern an und bieten darüberhinaus Statistiken über die Besucher der Websites an. Dafür müssen sie natürlich mit euren Daten arbeiten – und deswegen müsst ihr mit ihnen einen Vertrag zur Auftragsdatenverarbeitung abschließen. Webgo bietet diesen Vertrag gleich nach dem Einloggen an und hat sogar vorsorglich nochmal daran erinnert. Das Gleiche müsst ihr natürlich auch mit Google machen, falls ihr Dienste wie Google Analytics nutzt. Den ursprünglichen Vertrag dafür in Papierform gibt es nicht mehr, dafür könnt ihr ihn online abschließen – hier alle Infos dazu.

 

3. Datenschutzerklärung

Natürlich muss die Datenschutzerklärung aktualisiert werden. Damit man nicht alles selbst schreiben muss, gibt es Generatoren hierfür (einen guten habe ich hier gefunden). Ihr solltet aber unbedingt den Text noch einmal durchlesen und Dinge streichen oder ändern, die auf eurer Website nicht eingesetzt werden oder die ihr zusätzlich nutzt. Vergesst nicht den Hinweis zum Löschen der Daten (bspw. per Mail). Weiterhin sollte die Datenschutzerklärung einfach zugänglich sein – am besten über einen Link im Footer. Es könnte sein, dass nach Inkrafttreten der DSGVO die Abmahnindustrie im Netz nach bestimmten falschen Passagen in Datenschutzerklärungen suchen – aus diesem Grund solltet ihr die Seite der Datenschutzerklärung auf no index stellen. Falls ihr Yoast Seo nutzt, so wie ich, dann könnt ihr hier lesen, wie man das macht.

 

4. Cookie Hinweis

Cookies sind kleine Dateien, die auf euren Computern gespeichert werden, wenn ihr bestimmte Websites besucht. Sie werden meist dazu genutzt, um Nutzer beim Besuch einer Website (z.B. eines Online Shops) wiederzuerkennen. Ein Cookie kann zum Beispiel auch den Inhalt eures Warenkorbes speichern. Schon seit längerer Zeit müsst ihr die Besucher eurer Website über die Nutzung von Cookies aufklären – ihr kennt sicher diese kleinen Hinweise bei denen ihr okay klicken müsst. Bestimmte Funktionen von Websites können nicht funktionieren, wenn der Besucher Cookies blockiert. Ein gutes Plugin für WordPress heißt Cookie Notice und bietet euch die Option bestimmte Skripte erst auszuführen, wenn der Besucher auf okay geklickt hat (hierzu kopiert ihr die Skripte, die ihr sonst im Header stehen hab, wie die Erkennung für Google Analytics oder Google Adsense) in das Textfeld Head in den Plugin-Einstellungen. Bis jetzt muss man zum Glück noch kein kompletten Opt-Out umsetzen, man sollte die Entwicklung aber im Auge behalten (hier ein paar Infos).

 

5. Kontaktformular

Bevor jemand eine Kontaktanfrage stellt, sollte er die Datenschutzerklärung akzeptieren (denn dort steht welche Informationen, z.B. Name und E-Mailadresse, wie lange gespeichert werden). Nutzt ihr Contact Form 7, so wie ich, dann könnt ihr folgende Befehle nutzen, um die Funktion einzufügen:

[acceptance your-consent] Ich habe die <a href=“Adresse der Datenschutzerklärung“ target=“_blank“>Datenschutzerklärung</a> zur Kenntnis genommen und akzeptiert. Ich stimme zu, dass meine Formularangaben zur Kontaktaufnahme bzw. zur Bearbeitung meines Anliegens gespeichert werden. [/acceptance]

6. Kommentare

Natürlich werden auch bei der Abgabe von Kommentaren Name, E-Mailadresse (und auch IP-Adresse gespeichert). Die Datenschutzerklärung muss darüber natürlich aufklären. Weiterhin bin ich kein allzu großer Fan davon IP-Adressen zu speichern – auch dafür gibt es eine Lösung, lest hier. Dort wird auch gleich erklärt, wie ihr die Adressen vorhandener Kommentare aus eurer Datenbank entfernt. Normalerweise wird die IP-Adresse gespeichert, um sie z.B. zur Strafverfolgung zu nutzen, falls jemand Kommentare mit strafrechtlich relevantem Inhalt postet. Da jetzt keine IP-Adresse mehr gespeichert wird, sollten alle Kommentare manuell geprüft werden, bevor man sie freischaltet (das kann man in WordPress – Einstellungen – Diskussion einstellen).

 

7. Social Media Buttons – Shariff Wrapper

Facebook und Co. bieten tolle Plugins um Buttons in euren Blog einzufügen. Diese können aber genutzt werden um bereits Daten zu sammeln bevor der User auf die Buttons drückt. Damit das nicht passiert hat die Zeitschrift Ct die sog. Shariff Buttons entwickelt. Hier werden Daten wirklich erst übermittelt nachdem der Besucher geklickt hat.

 

8. Google Analytics

Weiter oben haben wir für Google Analytics schon den Vertrag zur Auftragsdatenverarbeitung abgeschlossen. Weiterhin sollte man aber noch die IPs anonymisieren, die an Google gesendet werden. Dies geht entweder per Code oder über das Plugin Google Analytics Dashboard.

Die Aufbewahrungsdauer für die Daten bei Google Analytics sollte man auch reduzieren – die niedrigste Option sind 14 Monate (zu finden unter Verwaltung – Property auswählen – Tracking-Informationen – Datenaufbewahrung). Weiterhin sollte man die User-ID-Funktion deaktivieren (Verwaltung – Property auswählen – Tracking-Informationen – User-ID).

Nicht vergessen, vorhandene Analytics Daten löschen (oder gleich ein neues Konto nutzen) und Opt-Out anbieten (z.B. über Plugin oder Code).

 

9. Google Fonts

Da die Standardschriften von WordPress doch recht eingeschränkt sind, kann man bei den meisten Themes sehr einfach Schriften von Google nutzen (Google Fonts). Das Dumme dabei: Die Schriften befinden sich auf den Servern von Google und wann immer die Website geladen wird, wird eine Anfrage an Google geschickt. Ihr könnt die Fonts aber auch herunterladen und lokal einbinden, danach solltet ihr noch die Verbindung zu Google endgültig kappen (z.B. über das Plugin Autoptimize) – eine Anleitung, die für die meisten Themes funktionieren sollte, findet ihr hier. Verwendet ihr das Redux-Framework, so wie ich (im Theme eingebunden oder als Plugin), müsst ihr dort die Schriften bearbeiten, ein paar Infos gibt es hier.

 

10. Gravatar und Emojis deaktivieren

Gravatar ist ein Online-Service, bei dem Nutzer sich registrieren und ein Profilbild hinterlegen können. Wann immer ein registrierter Nutzer dann einen Kommentar hinterlässt, lädt WordPress das Profilbild. Diese Funktion kann man ganz einfach bei Einstellungen – Diskussion – Avatare deaktivieren.

WordPress bindet dummerweise automatisch Emoji Bilder von zwei externen Servern ein. Dies lässt sich durch ein Plugin deaktivieren – mehr Infos hier.

 

11. Google Adsense

Google Adsense bietet die Option personalisierte Werbeanzeigen zu schalten. Dies sollte man deaktivieren (Info).

 

12. Social Media Accounts

Nutzt ihr Social Media Profile um euren Blog zu bewerben, dann sollten dort funktionierende Links auf die Datenschutzerklärung eingefügt werden.

 

13. Verfahrensverzeichnis

Es muss ein Verfahrensverzeichnis angelegt werden, Infos gibt es z.B. hier.

 

14. Youtube-Videos, Google Maps, …

Im günstigsten Fall sollten Youtube-Videos, Google Maps, etc. nicht in die Website eingebunden werden, sondern nur als Link angegeben werden. Da das nicht immer toll ist und die Funktionalität der Website schon deutlich reduziert, sollte man zumindest in der Datenschutzerklärung darauf hinweisen.

Tags from the story
Join the Conversation

1 Comment

  1. says: Gregor

    Ich bin froh und dankbar für jeden, der zu diesem leidigen Thema DSGVO Hilfestellung leistet – Danke dafür! Es macht mich aber auch traurig zu sehen, wie viele Blogger und Seitenbetreiber in den letzten Wochen das Handtuch geworfen haben und aufgrund dieser neuen Gesetze ihre Webseiten teils sogar komplett eingestellt haben. Sicher, es ist müßig und sehr trocken sich durch diesen Verordnungsdschungel durchzukämpfen…. aber bleibt am Ball und gebt nicht auf! Diese und viele andere Webseiten helfen dabei !!

Leave a comment
Leave a comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert