Der große DSGVO XXL-Guide Part 3: Die Frage, welche Daten darfst du nutzen und welche nicht.

Im Zweifel gehe immer davon aus, dass die Daten einen Personenbezug haben

Nach der Pflicht folgt die Kür!

Selbst wenn unangemeldete Nutzer deine Webseite besuchen und du Google Analytics im Einsatz hast, um das Nutzerverhalten zu analysieren. Die IP-Adresse des Nutzers darfst du nicht vollständig, ohne Anonymisierung weiter an Google geben. Amerika = Drittland.

Die IP-Adresse des Nutzers ist personenbezogen.

Mit Zeitstempel und IP-Adresse kann, Dank Vorratsdatensspeicherung in Deutschland, eine spätere Zusammenführung statt finden, was dann eindeutig einem Telefonanschluss zugeordnet werden kann. Schon mal eine Unterlassungsklage wegen illegalen MP3-Download bekommen? Praktische Anwendungen folgen in einem späteren Teil des Großen DSGVO XXL-Guide.

Deine Webseite nach DSGVO Vorgaben umbauen.

Der große DSGVO XXL-Guide Part 3: Die Frage, welche Daten darfst du nutzen und welche nicht.

Wenn du die vorherigen Teile meines großen DSGVO XXL-Guide aufmerksam gelesen hast, dann wirst du feststellen, dass war ja Alles nur die Pflicht. Richtig, jetzt folgt die berühmte Kür. Was nützen die besten Dokumentationen und Verfahrensverzeichnisse, wenn die geforderten neuen Regelungen nicht in der Praxis umgesetzt werden.

Das Folgende ist keine Rechtsberatung. Ich betone das an dieser Stellen ausdrücklich. Es beschreibt lediglich meine Erfahrungen und Umsetzungen zu diesem Thema. Solltest du unsicher sein, dann kontaktiere bitte deinen IT-Rechtler.

Um die Sache etwas verständlicher zu gestalten, werde ich die Webseite www.it-dienstleister-dresden.de & cyber-konzept.de analysieren. Dann versuche ich eine verkürzte Verarbeitungstätigkeit zu formulieren und als Drittes das Problem zu lösen.

Meine Webseite (it-dienstleister-dresden.de) läuft mit WordPress.

Eine One-Click-Solution für WordPress ist zum aktuellen Zeitpunkt nicht in Sicht.

Eine Übersicht der zu erledigenden Aufgaben – Alles muss auf den Prüfstand:

  • Fonts
  • Themes / Plugins
  • CSS
  • JacaScript
  • Grafiken
  • Medien
  • Newsletter?
  • Google Analytics
  • SSL-Verbindungen
  • Gravatar
  • BLog-Kommentarfunktion
  • Social Media Einbindungen
Nach der Pflicht folgt die Kür! Eine Übersicht der zu erledigenden Aufgaben – Alles muss auf den Prüfstand. #RatGroup #DSGVO Klick um zu Tweeten

Viele Blogger und Unternehmer wollen oder müssen sparen. Da fehlt oft das Budget für eine professionelle Web-Agentur. Und die verheißungsvolle Werbung “Webseiten ohne Programmierkenntnisse” sind kinderleicht. #keinerocketscience – Einfach nur Dumm, Ohne Kommentar.

Du mußt jetzt stark sein. Auch wenn das folgende für dich bömische Dörfer sind, da musst du durch.

Benutzt du den Mozilla Firefox als Browser?, Fein, dann hast du Alles, um kostenlos und ohne viel Aufwand deine Webseite zu analysieren. Der Browser bringt sein eigenes kleines Analyse-Tool für Web-Entwickler mit.

Drück mal F12.

Jetzt sollte im Browser unterhalb ein kleines Unterfenster aufgehen. Hier findest du diverse Testtools. Vom Inspektor, JavaScript-Konsole über Laufzeitanalyse, Netzwerkanalyse bis zum DOM-Baum. Das soll dich aber nicht abschrecken. Uns interessiert nur die Netzwerkanalyse. Einfach mal den Reiter anklicken.

Die Netzwerkanalyse unterteilt sich in weitere Teilbereich: Alles -> HTML -> .. bis .. -> Sonstiges.

Tipp: Du findest dort, ganz links, einen kleinen Mülleimer. Dieser ist wichtig, um die Testergebnisse zu löschen, bevor du wieder einen Reload der Seite ausführst. Sonst bleiben die vorherigen Ergebnisse alle stehen, was nicht unbedingt hilfreich in der Übersichlichkeit der Analyse ist.

Let`s start.

Themes und Plugins – Menü-Icons mit FontAwesome

In diversen Foren und Blogbeiträgen habe ich gelesen, dass Fonts von Servern aus Drittländern nicht unter die DSGVO fallen sollen. Nun gut, genaues weiß man nicht. Also im Zweifel muss das laden von externen Servern unterbunden werden.

(Google Fonts oder CSS maxcdn.bootstrapcdn.com ) Sollte sich mittelfristig in der Praxis zeigen, dass es doch erlaubt sein wird, dann ist das folgende eine gute Übung NICHT-DSGVO-konforme Plugins und Themes zu finden und zu bereinigen.

Ich analysiere die #RatGroup-Seite mit geöffneter Konsole. So nennen wir Entwickler das Analysetool.

Die Kür – Der große DSGVO XXL-Guide Part 3

Wie wir unschwer erkennen können, irgend ein kleines fieses Plugin lädt vom Server maxcdn.bootstrapcdn.com eine CSS-Datei nach.

In Vorbereitung auf den DSGVO XXL-Guide habe ich vorher schon das Plugin ermittelt. In diesem Fall ist es im Themes “Hestia” ein kleines Plugin, was verantwortlich für die Darstellung der Menu-Icons ist. Ich will die Menu-Icons auf meiner Webseite unbedingt behalten, also muss ich die Datei finden, welche dafür verantwortlich ist.

Wo im Morast der Ordner und Dateien, steckt die kleine Unke der Wahrheit.

Nächste Stufe der Analyse. Das Übertragen der WordPress-Installation Dateien auf meinen lokalen Rechner. Yay, Backup – Check. Aber bitte per sFTP und nicht per FTP. Das FTP-Protokoll ist unverschlüsselt. Deine Zugangsdaten bekommst du von deinem Hoster.

Die Prozedur kann, je nach extensiver Verwendung von Plugins und Themes eine ganze Weile dauern. Will man es ein wenig verkürzen, dann nur den Ordner /wp-content/ laden. Dort sind die Ordner/Dateien neben anderen Dingen verortet, was WordPress so braucht um zu funktionieren.

Kaffee-Pause. Na ja, Zwei Kaffee.

Nach erfolgreichem Laden der Ordner und Dateien brauchen wir ein Texteditor-Programm.

MS Office Word oder der hauseigene Editor von Windows ist nicht geeignet.

Ich empfehle für Windows-Nutzer den kostenlosen Notepad++ Editor.  In diesem Editor kann man sehr gut nach Text-Fragmenten auch Ordner übergreifend suchen. Jeder anderer Editor, der die gleichen Features unterstützt, geht auch.

Ich, als altgedienter Programmierer benutze Eclipse. (Seit Jahrzehnten sind wir gemeinsam immer BESSER geworden)

Im folgenden Screenshot zeige ich dir, wie man mit der “Suchen und Ersetzen” Funktion – blitzschnell die Datei und Stelle gefunden hat, welche für das Laden vom maxcdn.bootstrapcdn.com Server verantwortlich ist.

Die Kür – Der große DSGVO XXL-Guide Part 3

Den Quelltext jetzt zu ersetzen, ist kein Problem. Einfach in den Zeilen: https://stackpath.bootstrapcdn.com/font-awesome/4.7.0/css/font-awesome.min.css mit /css/font-awesome.min.css ersetzen.

Wir müssen Uns nur überlegen, wo wir die Datei font-awesome.min.css jetzt NEU verorten, damit meine Menü-Icon trotzdem funktionieren. Das Plugin braucht nun mal die CSS-Datei.

Moment, da fehlt was?

Richtig, wir müssen uns die Datei ja erstmal holen. In einem neuen Browser-Tab die URL (https://stackpath.bootstrapcdn.com/font-awesome/4.7.0/css/font-awesome.min.css) in die Adresszeile kopieren. *Staun*

Dann einfach lokal abspeichern. Ich habe es mir einfach gemacht und lege die Datei (font-awesome.min.css) in die Root meines Webservers in den Ordner /CSS/, welchen ich eigens dafür angelegt habe. Fertig. Jetzt habe ich den Aufruf des Plugins so gedreht, dass er die CSS-Datei von meinen Server holt und nicht mehr von Irgendwo.

Die Kür – Der große DSGVO XXL-Guide Part 3

Ein aufmerksamer Leser könnte sich fragen, warum legst du eine Kopie der Datei mit zwei Unterstrichen an?

Die Antwort: Nach ein paar Wochen oder Monaten, weiß ich nicht mehr, an welcher Stelle ich Quelltextveränderungen vorgenommen habe. Wird diese kleine Datei durch ein Update überschrieben, sind meine Änderungen weg.

Durch diese Kopie der Datei kann ich die geänderte Datei schnell und ohne viel Aufwand korrigieren. Und ich bin wieder DSGVO Konform. Ganz einfach. Auf das Thema Datei-Versionierung mit SVN oder Git oder Child-Themes in WordPress gehe ich nicht ein. Das würde den Rahmen sprengen.

Ergebnis meiner Bemühungen

DSGVO XXL-Guide Ergebnis meiner Bemühungen

Man erkennt, dass ich meine WordPress-Installation so umgearbeitet habe, kein externes Laden irgendwelcher Dateien von Drittland-Server.

Einige WP-Programmierer werden jetzt sagen, OJE, der verändert die Dateien, das darf man nicht.

Sagt WER? Mein Projekt, meine Dateien. Da mache ich, was ich will.

Im Ernst: Solltest du zweifeln und dir diese Veränderungen nicht zu trauen, dann besorge dir einen Programmierer, um solche Probleme sauber zu lösen.

Google – Fonts

In vielen kostenfreien WordPress-Themes verwendete Schriftarten liegen nicht auf dem Server der Webseiten. Stichwort Google-Fonts. Aber ohne die Verwendung der schönen Schriften, sehen viele Webseiten bescheiden aus. Richtig? Also muss auch hier eine DSGVO-Lösung her.

Welche Schriftarten auf deiner Webseite verwendet werden, findest du mit dem Firefox Analysetool raus. Die genaue Vorgehensweise ist analog der font-awesome.min.css. Nur diesmal über den Reiter Netzwerkanalyse -> Schriften. Die Schriftarten stecken in Dateien mit den Endungen *.woff oder *.woff2 usw.

Zuerst verbieten wir unserer Webseite das laden der Schriftarten vom Google-Servern.
Vorschlag: Ein funktionierendes und kostenfreies Plugin ist: Remove Google Fonts References
Es gibt keine Einstellungen, das Plugin funktioniert „Out of the Box“, ohne dass du etwas tun musst.

Was macht das Plugin genau: “Reasons for not using Google Fonts might be privacy and security, local development or production, blocking of Google’s servers, characters not supported by font, performance.”

OK, erledigt. jetzt müssen wir die Schriftdateien auf unseren Server (beim Hoster) verfügbar machen. Wie das genau funktioniert, hat das WP-Ninja Projekt sehr gut erklärt.
Quelle: https://wp-ninjas.de/wordpress-google-fonts/

Damit hätten wir die Schriftarten DSGVO-Konform gemacht.

Verarbeitungstätigkeit: Newsletter, Blogkommentare, Kontakt-Formular

Es kann ja nicht zielführend sein, mit einer neuen Datenschutzverordnung alle lieb gewonnen Gewohnheiten zu verbieten. Das Internet lebt schließlich von den Interaktionen zwischen den Nutzern.

Um dieses Problem zu lösen, musst du überlegen, wie schaut es durch die DSGVO-Brille aus. Am Beispiel der Kommentarfunktion auf deinem Blog.

Du solltest deinen Nutzer unmissverständlich und mit einfachen Worten klar machen, dass wenn er einen Kommentar in deinem Blog hinterlassen möchte, er sich mit der Speicherung seiner personenbezogenen Daten einverstanden erklärt.

Personengebundene Daten könnten sein: Name, E-Mail, IP-Adresse.

Der einfachste Weg ist eine NICHT VORAUSGEWÄHLTE CHECKBOX mit der Beschreibung: “Mit der Nutzung dieses Formulars erklärst du dich mit der Speicherung und Verarbeitung deiner Daten (Vorname, Nachname, E-Mail, IP-Adresse) durch diese Website einverstanden.

Weiter Informationen in meiner Datenschutzerklärung.” Am Besten den ganzen Satz verlinken zu deiner Datenschutzerklärung.

Um die aktive Handlung des Nutzers zu erzwingen, also das markieren der Checkbox, darf das Kommentar-Formular nicht abgesendet/verarbeitet werden, ohne Check. Also ein Pflichtfeld in der Formular-Konfiguration deiner WordPress-Installation.

Eine WordPress-Lösung ist das Plugin WP GDPR.

Quelle: https://wordpress.org/plugins/wp-gdpr-core/ Beschreibung: “The plugin will create a page where users can request access to their personal data, stored on your website. In the backend you’ll get an overview of the requests users send and you can see which plugins collect personal data and need a ‘ask for approval’ checkbox.”

Analog kannst du auch dein Newsletter-Dienst DSGVO konform beschreiben

Newsletter sind aufwendiger. Man muss den Nutzer nicht nur die wirklich freiwillige Handlung/Entscheidung anbieten und dokumentieren, sondern mittels dem Double Opt-In Verfahren, sich die Anmeldung bestätigen lassen.

Denke bitte auch an das Kopplungsverbot. Ich benutze das Plugin: Newsletter von Stefano Lissa. Quelle: http://www.thenewsletterplugin.com.

Der Vorteil: All meine Webprojekte laufen auf eigenen Web-Servern. Einen Sharing-Hoster benutze ich sein Jahren nicht mehr. (Du? Stichwort: Auftragsverarbeitung, Vertrag mit Hoster machen). Bedeutet alle Daten bleiben auf meinen Servern. Ich gebe nichts außer Haus. Sollte das bei dir der Fall sein, dann musst du unbedingt in deiner Datenschutzerklärung eine umfangreiche und genaue Beschreibung dokumentieren.

Die Datenschutzerklärung zum Newsletter sollte dann folgende Informationen enthalten:

  • Newsletter -> Double Opt-In Verfahren
  • Einsatz durch einen Versanddienstleister (BlaBla)
  • Beschreibung der Anmeldedaten
  • Statistische Erhebung & Analyse der Daten. (Stichwort: Öffnungs-Pixel, man will ja wissen, wer Alles meinen Newsletter gelesen hat)
  • Online-Aufruf – Beschreibung für den Fall, dass der Nutzer die E-Mail nicht lesen kann, ist meistens ein Link mit dem Hinweis “Online lesen.” hinterlegt. Auch das muss beschreiben werden.
  • Kündigung und Widerruf
  • Rechtsgrundlagen der Datenschutzgrundverordnung

Die zukünftigen Datenschutzerklärungen vieler Webseiten werden mehr Worte beinhalten, als die kompletten Harry Potter Romane.

Social Media Anbindung Facebook, G+, Twitter & Co.

In vielen WP-Themes sind die Social-Media Verknüpfungen einprogrammiert. Was zum Einen recht praktisch ist, aber auch Potenzial zu erfolgreichen Abmahnungen beinhaltet.

Die Programmierer dieser Themes haben es sich leicht gemacht und binden die Verlinkung direkt über ein JavaScript ein. Wenn man die richtigen API zu Facebook verwendet, kannst du deine Statistiken, Kommentare von der FB-Fanpage auf deine Webseite einbinden. Aber da liegt das Problem.

Ein Beispiel der gängigen Praxis. Als Nutzer sitze ich am Rechner und checke meinen Facebook Account. Natürlich logge ich mich bei Facebook ein. Jetzt öffne ich in einen weiteren Browser-Tab deine Webseite. Durch das leichtsinnige Einbinden von Social-Media-Button in deinem WP-Themes, weiß Facebook, dass ich als Nutzer deine Seite gerade besuche.

Genau diese ungefragte Verknüpfung ist verboten. Weil deine Webseite, ohne den Nutzer deiner Seite aufzuklären, Facebook durch die Verknüpfung personenbezogene Daten weiter gibt. Du gibst nicht nur die IP-Adresse, Timestamp weiter, denn durch meine Anmeldung bei Facebook, weiß Facebook eine Menge über mich. Alles was ich bei Facebook schon hinterlegt habe, wie z.B. Alter, Vorlieben, Geschlecht, Meine Freunde, und aus diesen Daten PLUS weiterer externer Informationen, wie von deiner Webseite, entstehen Datenprofile, welche wieder für Marketer interessant sind.

Hoppla, da habe ich ja einen Teil des Geschäft-Models von Facebook erklärt. Warum haben die Vertreter des Repräsentantenhaus in der Anhörung am 12.04.2018 Mark Zuckerberg nicht danach befragt.

Aber so ist es, wenn über 80jährige Senatoren über das Alphabet reden möchten und nicht mal den Buchstaben A verstehen. Ich hatte den Eindruck, Mark Zuckerberg pinkelt sich gleich in die Hosen, vor lachen.

Zurück zum Thema: So was ist VERBOTEN. Quelle: Bundesdatenschutzgesetz (BDSG) § 43 Bußgeldvorschriften.

Der fairnesshalber sollte ich an dieser Stellen auch erwähnen, dass ALLE Social Media Netze wie Google+, Instagram, Twitter, Pinterest – Verknüpfungen mit Vorsicht zu betreiben sind.

Lösung des Problems:

Verwende eine Zwei-Klick-Lösung oder setze Shariff in deiner Webseite ein.
Deaktiviere oder entferne die alten Social-Media-Einbindungen deines WP-Themes.
Quelle: https://de.wordpress.org/plugins/shariff/

Gravatare, Emojis und Grafiken

Bilder sagen mehr, als 1000 Worte. Ja, aber bitte nur nach DSGVO.

Du kannst sehr einfach und bequem mit dem Firefox-Analysetool -> Reiter nach externen Grafiken prüfen. Sollte deine Webseite Bilder von externen Drittland-Servern laden, hast du folgende Möglichkeiten: zum Einen die Bilder auf deinen Server neu verorten oder zum Zweiten nach DSGVO ein Verfahren anlegen. Inkl. Datenschutzerklärung, Verarbeitungsvertrag usw. usw. anlegen.

Mir ist die Zweite Variante zu viel Arbeit, ich hoste meine Bilder selber. Fertig.

Gravatare sind lieb gewonnene kleine Bildchen, welche in Blog-Kommentaren die Nutzer lebendiger machen. Durch die DSGVO-Brille geschaut, stellen diese Verknüpfungen Tracking dar. Im Zweifel, abschalten.

Emojis. Frauen lieben diese kleinen Bildchen. Als Unterstützung in der großartigen deutschen Sprache, fragwürdig? Als Mann habe ich keine Lust Bilderrätsel zu lösen. Also warum Emojis? Durch die DSGVO-Brille geschaut, telefonieren diese kleinen Bildchen gern nach Hause. Tracking? Im Zweifel abschalten.

Wie das genau funktioniert hat Britta Kretschmer sehr schön dokumentiert. Quelle: https://www.internetkurse-koeln.de/besser-fuer-den-datenschutz-gravatar-abschalten-und-emojis-deaktivieren/

Vielen Dank dafür.

WordPress-Plugin: Disable Emojis
Quelle: https://wordpress.org/plugins/disable-emojis/

SSL-Verschlüsselung in Zeiten von Let’s Encrypt

Bei der SSL-Verschlüsselung geht es weniger darum, dass der Server im Rechenzentrum (RZ) gesichert ist, davon gehe ich aus. Auch bei sharing Hostern wie Strato, 1&1 usw. Diese Rechenzentren sind sehr gut gesichert. (Datenverarbeitungsvertrag mit deinem Hoster abschließen, nach DSGVO)

Gemeint ist: Bei einer sauberen SSL-Verschlüsselung werden alle EIN/AUS gehenden Datenpakete verschlüsselt, bevor die Pakete auf die Reise von deinem Server (RZ) zum Browser deiner Nutzer fliegen. Also der Weg durch die Internet-Leitungen rund um den Globus. Das betrifft auch mobile Verbindungen LTE etc. Auf die technischen Details, wie so was genau funktioniert, gehe ich an dieser Stelle nicht ein.

Es soll noch Webseiten und sogar OnlineShops geben, welche keine verschlüsselte Kommunikation anbieten. So was ist nicht nur respektlos gegenüber den Nutzern, hier wird auch gegen geltendes Recht verstoßen.

Stelle dir bitte eine einfach Frage, würdest du deine VISA Karten Daten auf eine Postkarte schreiben, in den Briefkasten einwerfen? Damit sie jeder lesen kann?

Genauso verhält es sich mit unverschlüsselter Kommunikation im Internet.

Eine kostenfreie Möglichkeit die SSL-Verschlüsselung deiner Webseite zu prüfen: Quelle: https://www.ssllabs.com/ssltest/

Die Kür – Der große DSGVO XXL-Guide Part 3

Das Ergebnis sollte mindestens ein A haben. A+ ist das Optimum. Alles unterhalb von A, NICHT GUT. Sprich bitte deinen Hoster oder IT-Dienstleister an.

Der Hoster muss nachbessern.

Das kleine grüne Schloss in der Browser Adresszeile, ist der erste Indikator, welche Nutzer heutzutage unbewusst prüfen, um weiter auf deiner Webseiten zu bleiben.

Bei Google ist eine saubere SSL-Verschlüsselung sogar ein Ranking-Faktor. Wie stark die Gewichtung ist, darüber scheiden sich die SEO-Geister.

Ein SSL-Zertifikat von Let’s Encrypt ist kostenfrei. Keine Ausreden mehr.

Und was ist mit Google Analytics? Google Analytics ist nicht Alles, hier geht es mehr um die anonyme Nutzung deiner Webseite. Geht das überhaupt noch?

Kleiner Tipp: Damit deine Datenschutzerklärungs-Seiten nicht in die automatisierten Fänge von Datenschutz Textscanner kommt, lieber <meta name=”robots” content=”noindex, nofollow”> verwenden. Die AGB-Seite betrifft das auch.

Es wird NICHT unmöglich deine Datenschutzerklärung zu finden, aber zumindest wird es nicht mehr im Google-Index gelistet.

Sollte es schon gelistet sein, dann in der Google-Search Console unter

URLs entfernen

beantragen.

Solltest du es nicht wissen, kannst du auch mit dem  kleinem Hack in der Google-Suchfeld mit:

site:www.deine-seite.de

suchen. Vielleicht findest du so weiter URL, welche du nicht mehr im Index von Google sehen willst.

Für weitere Rückfragen, Analysen und Lösungsumsetzungen  stehen wir von der  #RatGroup gern mit Rat und Tat zur Seite.

Google und seine Dienste DSGVO-Konform verwenden?