Unverbindliche Tips zum DSGVO konformen Einsatz von Plugins und Services.

Achtung! Alle Notizen, Gedanken und Links verstehen sich nicht als Rechtsberatung und sind ohne Wertung, ohne Haftung und ohne Sicherheit zu sehen. Es soll eine kleine Zusammenstellung von Daten, Links und Erklärungen rund um die DSGVO sein, um ein paar Eigenheiten rund um das Thema besser zu verstehen.

Webhosting und WordPress

Über Pragmatik, Sinnfähigkeit und Sicherheit lässt sich sicher über die DSGVO diskutieren, aber bis die ersten Abmahnungen gemeistert und Urteile gesprochen sind, sollte man einfach einiges beachten. Auch wenn man nur komplett für jeden frei verfügbaren Content zur Verfügung stellt und nicht mit „richtigen“ Kundendaten arbeitet, d.h. Namen, emails, Adressen usw erfasst und speichert.

DSGVO abweichend von der europäischen GDPR ? Scheinbar ja, und zwar gilt für alle Seiten/Dienste/Plugins, dass die IPs der anonymen Benutzer nicht erfasst oder weitergeleitet werden dürfen.

Was? Warum das denn? Laut aktuell geltender deutscher Rechtsprechung (siehe weiter unten) sind Aufrufe von Seiten und auch zB WordPress-Plugins nicht erlaubt, die nicht mit verschlüsselten/verfälscht angezeigten oder verkürzten IPs arbeiten.

Und das sind zur Zeit leider noch fast alle Plugins. Besonders für die Sicherheit der Website für Firewall, Blockierung von Angriffen bei mehrmaligem Versuch des unerlaubten Logins usw. arbeitende Plugins sind betroffen, die bisher naturgemäß mit IPs arbeiten müssen sowie auch die meisten Statistikplugins.

Und auch viele Websites und Templates, die bereits beim ersten Aufruf einer Seite einige Services anfragen, bevor man überhaupt die Datenschutz/Cookienotiz zu Gesicht bekommt. Das sind zb eingebettete Funktionen wie Videoplayer für Youtube oder Vimeo oder durch die Benutzung von Google Fonts oder weiteren Webservices oder Frameworks.

Dies bekommt man gut mit, in dem man sich im Browser ein geeignetes Plugin wie zb UBlock Origin installiert, der direkt alle aufgerufenen Domains anzeigt (und sie direkt auch blockt, wenn man will). Man wird sich wundern, wie viele Links da -meist für Werbung- aufgerufen werden. https://addons.mozilla.org/de/firefox/addon/ublock-origin/

Beispielhaft zB die Aufrufe von Diensten der spiegel.de Seite (verkürzt)

Hier sollten bei der eigenen Website bestenfalls nur die eigenen Domains stehen! Auf verwendete Dienste, wie GoogleAds oder das Einbinden des RTL-Wetter-Widgets muss spezifisch hingewiesen werden in den Datenschutzerklärungen. Sofern sie denn wichtig für den Betrieb der Seite sind.

Warum sind diese IPs DSGVO-problematisch? IPs also Internet Protocol Nummern, die ein jeder Rechner, Router, Webserver usw. hat, die Grundlage des Internets gelten in Deutschland als personenbezogene Daten. Auch wenn kein normaler Mensch herausbekommt, welcher Mensch hinter welcher IP sitzt.

„BGH bestätigt: Dynamische IP-Adressen sind personenbezogene Daten“
Quelle: https://www.heise.de/newsticker/meldung/BGH-bestaetigt-Dynamische-IP-Adressen-sind-personenbezogene-Daten-3714967.html

Wer sich in das Thema vertiefen mag, kann hier einiges dazu nachlesen und sich seine eigene Meinung bilden:
https://www.daten-speicherung.de/index.php/klage-gegen-surfprotokollierung/
https://www.cr-online.de/blog/2015/09/13/ip-adressen-eu-kommission-gibt-bgh-nachhilfe-in-sachen-grundrechte/
https://dejure.org/dienste/vernetzung/rechtsprechung?Text=ZD%202015,%2080
https://www.daten-speicherung.de/wp-content/uploads/Breyer-Personenbezug-IP-Adressen.pdf

Sicher ist es nur eine Frage der Zeit, dass die Entwickler Updates mit der Funktionalität liefern, die deutschem Recht entsprechen. Aber in den meisten Entwicklerländern ist diese bisher deutsche Eigenheit unbekannt und meist auch egal. Also abwarten.

Eine sehr gute Erklärung, wie man Aufrufe von googlefonts und fontawesome über ein dequeue in der functions.php per Hand abschaltet, findet man hier:

remove-google-fonts-from-wordpress-theme

remove-font-awesome-from-wordpress-theme

 

Hier einige Informationen zu gern genommenen Plugins über deren jeweilige DSGVO Konformität. Liste wird erweitert.

Oft verwendete WordPress Plugins

und Ihre Aussage zur DSGVO und/oder GDPR

„Antispam Bee und die DSGVO

Die neue Datenschutz-Grundverordnung gilt ab dem 25. Mai. In den wenigen Tagen bis dahin werden viele Betreiber von Websites nervös daran arbeiten, herauszufinden, ob ihre Seiten schon DSGVO-konform sind, welche Plugins vielleicht besser ausgeschaltet oder ausgewechselt werden und welche Services einfach entfernt gehören.

Das Pluginkollektiv ist eine Gruppe von Entwicklerinnen und Entwicklern, die einen ganzen Zoo von WordPress-Plugins pflegen, die allesamt vor einigen Jahren von Sergej Müller (langjährigen Lesern auch als ursprünglicher Autor des WP LETTER bekannt) entwickelt wurden. Ich selbst bin in der glücklichen Lage, von Zeit zu Zeit ein wenig im Pluginkollektiv mitzuarbeiten. All diesen Plugins ist eines gemein: sie wurden vom ersten Tag mit größtem Bedacht auf Datensparsamkeit und Datenschutz konzipiert. Deshalb ist das Statistik-Plugin Statify heute eine simple aber ausreichende Alternative zu Google Analytics und auch Antispam Bee, das vorher schon ein extrem beliebtes Antispam Plugin war, erfährt dieser Tage einigen Zulauf.

Nachdem es im Vorfeld einige Gerüchte bezüglich der DSGVO-Konformität Antispam Bees gab, hat das Kollektiv mit der in Kürze verfügbaren Version 2.8 großen Wert darauf gelegt, alle Zweifel auszuschließen und entfernt eine Option, zum Abgleich mit einer externen Spam-Datenbank. Der Abgleich, der bisher standardmäßig nicht aktiv war, ist für eine zuverlässige Spam-Erkennung nicht erforderlich, durch seinen Wegfall kann das Plugin aber nicht mehr versehentlich „falsch“ konfiguriert werden. Auch hinter den Kulissen wurden Optimierungen vorgenommen. IP-Adressen werden zum Beispiel nicht mehr im Klartext verarbeitet, was einen zusätzlichen Schutz der Daten bedeutet.

Noch befindet sich Antispam Bee 2.8 in der Testphase. Wer dabei helfen möchte und über einige technische Grundkenntnisse verfügt, kann die Beta-Version auf GitHub herunterladen und installieren. Die finale Version 2.8 wird in den kommenden Tagen – und in jedem Fall noch vor dem 25.5. – als normales Update verfügbar sein.“

https://wpletter.de/archive/230/

„Fully compliant with the European GDPR guidelines. You can test your website at cookiebot.com.
Exclude users from statistics collection based on various criteria, including; user roles, common robots, IP subnets, admin pages, country, etc.
Export your reports to CSV, generate user heatmaps or get daily emails right in your mailbox (via premium add-ons).
Compatible with W3 Total Cache, WP SuperCache, CloudFlare and most caching plugins.
Support for hashing IP addresses in the database to protect your users privacy.“

„Im direkten Vergleich mit Statistikdiensten wie Google Analytics, WordPress.com Stats und Matomo (Piwik) verarbeitet und speichert Statify keine personenbezogenen Daten wie IP-Adressen – Statify zählt Aufrufe, keine Besucher.
Völlige Datenschutzkonformität gepaart mit transparenten Prozeduren: Eine in der lokalen WordPress-Installation angelegte Datenbank-Tabelle besteht aus nur 4 Feldern (ID, Datum, Herkunft, Ziel) und kann jederzeit durch den Administrator angezeigt, aufgeräumt und geleert werden.
Aufgrund dieser Funktionsweise erfüllt Statify alle Anforderungen der DSGVO und ist eine Alternative zu anderen Tracking-Diensten.“
https://de.wordpress.org/plugins/statify/

„Defiant, the company behind Wordfence, has updated its terms of use, privacy policies and software, as well as made available a data processing agreement to meet GDPR compliance. Customers must review and agree to updated terms in order to continue using our products and services. We also provide a data processing agreement if you qualify as a data controller under the GDPR.“

https://www.wordfence.com/help/general-data-protection-regulation/


Unterstützung des oft verwendeten Themes AVADA

Avada 5.5.2 vom 23.05.2018
1. Google Fonts werden lokal abgespeichert per Einstellung!
2. Kontaktform mit Checkbox
3. 3rd Party embeds Elemente per Benutzerentscheidung
https://theme-fusion.com/avada-5-5-2-and-its-awesome-gdpr-tools/

DSGVO im Büro
Windows, Mac, Office, iCloud, Rechnungsprogramme etc

Links zum Thema

iCloud Sicherheitsüberblick: https://support.apple.com/de-de/HT202303

Verwandte Artikel: