Tja – so ganz komme ich dann doch nicht drum herum, mir ein paar Gedanken zum Datenschutz zu machen. Nicht nur wegen der neuen DSGVO, sondern eigentlich grundsätzlich. Und die DSGVO ist nun ein „willkommener“ Anlass.
Ich mache hier keine Rechtsberatung. Und habe mich in die DSGVO kaum reingelesen. Für meine Umstellungen im Blog folge ich einfach dem Grundsatz der Datensparsamkeit – soweit das möglich und sinnvoll ist.
Im Folgenden daher meine Notizen, wie ich den Blog sparsamer gemacht habe.
Vorbereitung
Welche Tracker laufen eigentlich auf meiner Seite? Ich bin ehrlich, ich wusste es nicht… Ich war da in der Vergangenheit offenbar wirklich etwas nachlässig.
Helfen tun zwei Tools: Für den Browser das Plugin Ghostery, das alle populären Tracker anzeigt und blockieren kann: https://www.ghostery.com.
Für eine detailreichere Analyse helfen die in vielen Browsern integrierten Entwickler-Werkzeuge. Bei Safari versteckt sich das im Menu „Entwickler“ und dort unter „Webinformationen einblenden“. Hier ist vor allem der Bereich „Netzwerk“ interessant, da hier angezeigt wird, welche Daten von welchem Server geladen werden. Das sah zu Beginn ziemlich wild aus und macht jetzt einen angenehmeren Eindruck.
Kommentare
Wer kommentiert, hinterlässt Daten. Klar, seinen Kommentar, aber eben auch IP Adresse, eine E-mail und/oder Namen. Und der Speicherung dieser Daten muss explizit zugestimmt werden.
Bei den „normalen“ Kommentar-Tools von WordPress hilft das Plugin „WP GDPR Compliance„. Es fügt vor jedem „Senden“ Button eine Checkbox ein, mit der der Sicherung der Daten zustimmt werden muss.
Und die IPs der Kommentatoren brauche ich auch nicht. Also muss ich sie nicht erheben: Plugin „Remove IP“
Share Buttons
… ausschalten – oder zumindest dafür sorgen, das sie nicht direkt nach Hause telefonieren, sobald die Seite geladen wird. Entweder werden dafür statische Bilder eingebunden, die erst beim Klicken ein neues Fenster öffnen, über das dann der Artikel geteilt werden kann – oder mensch macht den bekannten Doppelklick auf das Social-Logo (mit integrierte Datenschutz-Erklärung).
Ich habe mich dafür entschieden die Share Buttons ganz abzuschalten. Über die Betriebssysteme und Browser ist das Teilen von Artikeln inzwischen auch ohne Einbindung in den Webseiten gut und einfach möglich.
JetPack
… hatte ich immer irgendwie mit laufen. Wohl vor allem für die Statistiken. Wenn mensch auf diese verzichtet, tut der Rest eigentlich kaum noch weh. Klar, das Ego muss ein wenig auf Futter verzichten, aber eigentlich egal. Muss das Ego halt Lernen, ohne Statistiken zu leben 🙂 Also: JetPack ausgeschaltet.
Theme
Zum größten Kampf… Ein Theme finden, das auf Google Fonts verzichtet. Denn ich möchte nicht, dass alles sauber ist, am Ende aber die Schriften alle von einem Google Server geladen werden – oder von einem anderen Server.
Am Ende, nach unzähligen Versuchen mit einfachen und schönen Themes aus dem WordPress-Verzeichnis (wichtig, danach die nicht gebrauchten Themes löschen…), bin ich wieder bei dem Standard Theme geladen: Twenty Seventeen.
Nur: Google Fonts werden auch hier genutzt.
Das Plugin „Disable Google Fonts“ hilft für die Standard Themes aus und unterbindet das externe Laden der Schriften.
Emoji
Das war doch ein nettes Feature von WordPress, als irgendwann alle Emojis automatisch in Bilder umgewandelt wurden… Leider liegen die Bilder nicht auf die eigenen Server, sondern wurden immer von „extern“ geladen.
Das muss nicht sein. Das Plugin „Disable Emojis“ hilft und deaktiviert alle Bilder. Die Emojis bleiben erhalten. Als Text 🙂
Videos
Eine weitere Datenschleuder sind eigebettete YouTube Videos. Diese telefonieren bei jedem Aufruf der Webseite zum Mutterschiff – egal ob das Video abgespielt wird oder nicht. Sehr ärgerlich, wenn mensch es einmal weiß.
Leider gibt es dafür keine wirklich befriedigende Lösung. Aber immerhin gibt es zwei:
a) beim Kopieren des Einbetten-Codes auf YouTube den „erweiterten Datenschutz-Modus“ aktivieren
b) über das Plugin „Embed videos and respect privacy“ wird das YouTube Video erst geladen, wenn mensch auf das Video klickt. Vorher werden auch keine Daten übertragen. Zwar läuft das Plugin noch nicht absolut sauber (z.B. beim Einbetten des Vorschau-Bildes gibt es bei einiges Themes Probleme), aber es läuft. Ich finde das die elegantere Lösung, da hierbei auch die alten Videos berücksichtigt werden.
https
Eine sichere Web-Verbindung sollte heute Standard sein. Die meisten Hoster bieten es in den Pakten an – oder mensch macht sich mit Lets encrypt sich selber auf den Weg.
In meinem Fall habe ich es mit einer guten Anleitung der ubernauten selber gemacht.
Datenschutzerklärung und Impressum
Neben dem Impressum wird eine Datenschutzerklärung Pflicht. Den passenden Generator gibt es auch schon: https://datenschutz-generator.de
(Chapeau: Gute Werbung für eine Anwaltskanzlei, sich hier offenbar früh zu positionieren… :))
RSS
Ceterum censeo: Wir sollten wieder mehr RSS nutzen…
Weitere Informationen
Drei Artikel, die die Problematik „DSGVO“ für Blogs etwas nähere beleuchten und Hintergründe und Tipps liefern:
- http://www.vibrio.eu/blog/die-dsgvo-fuer-blog-betreiber-dem-grauen-begegnen/
- https://www.webtimiser.de/so-bereitest-du-wordpress-auf-die-dsgvo-vor/
- http://www.spreeblick.com/blog/2018/04/10/was-bedeutet-die-dsgvo-fuer-blogs/
- http://bildungspunks.de/websites-nach-der-dsgvo/
- [Update 09.05.2018] https://github.com/qbi/DSGVO-Liste
Ergänzung
Hier (https://webbkoll.dataskydd.net/en/) kann man seine Seite auf den Datenschutz abklopfen lassen. Am Ende sollte alles grün sein…
Bei mir waren dazu noch zwei Anpassungen notwendig:
Aktivieren von HTTP-response-Headern nosniff, xframe_deny und xxss_protection.Eine kleine Anleitung der ubernauten gibt es dazu auch.
Im Header der Webseite „no-referrer“ einstellen. Um das nicht im Code zu machen – und beim nächsten Thema-Update wieder einstellen zu müssen – hab ich es über das Plugin „HTTP Header“ gemacht. Sind zwei Klicks.
Danach sah es dann alles zufriedenstellend aus:
