Unverbindliche Tips zum DSGVO konformen Einsatz von Plugins und Services. Eine kleine Gedankensammlung zum Thema inklusive Webhosting und WordPress sowie zur Verwendung von Clouddiensten
Es soll eine kleine Zusammenstellung von Daten, Links und Erklärungen rund um die DSGVO sein, um ein paar Eigenheiten rund um das Thema besser zu verstehen. Alle Notizen, Gedanken und Links verstehen sich nicht als Rechtsberatung und sind ohne Wertung, ohne Haftung und ohne Sicherheit zu sehen.
Webhosting und WordPress
Über Pragmatik, Sinnfähigkeit und Sicherheit lässt sich sicher über die DSGVO diskutieren, aber bis die ersten Abmahnungen gemeistert und Urteile gesprochen sind, sollte man einfach einiges beachten. Auch wenn man nur komplett für jeden frei verfügbaren Content zur Verfügung stellt und nicht mit “richtigen” Kundendaten arbeitet, d.h. Namen, emails, Adressen usw erfasst und speichert.
Ist die DSGVO abweichend von der europäischen GDPR zu sehen?
Scheinbar ja, und zwar gilt für alle Seiten/Dienste/Plugins, dass die IPs der anonymen Benutzer nicht erfasst oder weitergeleitet werden dürfen.
Was? Warum das denn?
Laut aktuell geltender deutscher Rechtsprechung (siehe weiter unten) sind Aufrufe von Seiten und auch zB WordPress-Plugins nicht erlaubt, die nicht mit verschlüsselten/verfälscht angezeigten oder verkürzten IPs arbeiten.
Und das sind zur Zeit (2018) noch viele Plugins.
Besonders für die Sicherheit der Website für Firewall, Blockierung von Angriffen bei mehrmaligem Versuch des unerlaubten Logins usw. arbeitende Plugins sind betroffen, die bisher naturgemäß mit IPs arbeiten müssen sowie auch die meisten Statistikplugins. Aber einige bieten die Möglichkeit der IP-Verschleierung und auch bei der Statistik kann zB Matomo DSGVO-konform eingestellt werden.
Aber auch viele Dienste wie eingebundene Video- und Social Media Plattformen kriegen die IP serviert, wenn der User auf der Seite surft und vorher über eine Cookieabfrage der jeweilige Dienst nicht gesperrt werden kann.
Wie sieht man, welche Dienste von Websites benutzt werden?
Am einfachsten dem man sich im Browser ein geeignetes Plugin wie zb UBlock Origin installiert, der direkt alle aufgerufenen Domains anzeigt (und sie direkt auch blockt, wenn man will). Man wird sich wundern, wie viele Links da -meist für Werbung- aufgerufen werden. Aber Vorsicht, einige Websites und -shops arbeiten nicht ordentlich, wenn zb. benötigte CDN (Contend Delivery Networks) nicht geladen werden können.
https://addons.mozilla.org/de/firefox/addon/ublock-origin/
Beispielhaft zB die Aufrufe von Diensten der spiegel.de Seite (verkürzt)
Hier sollten bei der eigenen Website bestenfalls nur die eigenen Domains stehen!
Auf verwendete Dienste, wie GoogleAds oder das Einbinden eines Wetter-Widgets muss spezifisch in den Datenschutzerklärungen hingewiesen werden.
Sofern sie denn überhaupt wichtig für den Betrieb der Seite sind.
Warum sind diese IPs DSGVO-problematisch?
IPs also Internet Protocol Nummern, die ein jeder Rechner, Router, Webserver usw. hat, die Grundlage des Internets gelten in Deutschland als personenbezogene Daten. Auch wenn kein normaler Mensch herausbekommt, welcher Mensch hinter welcher IP sitzt.
“BGH bestätigt: Dynamische IP-Adressen sind personenbezogene Daten”
Quelle: https://www.heise.de/newsticker/meldung/BGH-bestaetigt-Dynamische-IP-Adressen-sind-personenbezogene-Daten-3714967.html
Wer sich in das Thema vertiefen mag, kann hier einiges dazu nachlesen und sich seine eigene Meinung bilden:
https://www.daten-speicherung.de/index.php/klage-gegen-surfprotokollierung/
https://www.cr-online.de/blog/2015/09/13/ip-adressen-eu-kommission-gibt-bgh-nachhilfe-in-sachen-grundrechte/
https://dejure.org/dienste/vernetzung/rechtsprechung?Text=ZD%202015,%2080
https://www.daten-speicherung.de/wp-content/uploads/Breyer-Personenbezug-IP-Adressen.pdf
Sicher ist es nur eine Frage der Zeit, dass die Entwickler Updates mit der Funktionalität liefern, die deutschem Recht entsprechen. Aber in den meisten Entwicklerländern ist diese bisher deutsche Eigenheit unbekannt und meist auch egal. Also abwarten.
Eine sehr gute Erklärung, wie man Aufrufe von googlefonts und fontawesome über ein dequeue in der functions.php per Hand abschaltet, findet man hier:
remove-google-fonts-from-wordpress-theme
remove-font-awesome-from-wordpress-theme
Cloud-Dienste
Vorsicht galt schon immer den Diensten in der Cloud in Bezug auf die DSGVO und Betrieb auf ausländischen Servern.
Prinzipiell ist es natürlich kein Problem, Office 365 zu kaufen und die Apps zu benutzen. Solange es nicht die auch online verfügbaren Apps wie Word und Excel sind, die auf den Microsoft-Servern ausgeführt werden. Die Partnerschaft mit der Telekom ist wohl leider vorbei und keine dedizierte Nutzung auf deutschen Servern mehr möglich, die man bisher noch kaufen konnte.
Update 2020
Der Betrieb ist nun wieder auf deutschen Servern möglich, wie in diesem Artikel bei Microsoft beschrieben. Problem ist nach wie vor, dass man mit Microsoft keinen notwendigen Auftragsverarbeitungsvertrag schliessen kann, sondern Microsoft das Thema über Online Service Terms (OST) abschliesst, einseitig.
So ist dieser Artikel von Heise.de (als Update vom 5.10.2020) sehr interessant, nach dem man von der Benutzung der Office Produkte als Cloudapps verzichten sollte oder wie es offiziell heisst, dass “kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist” laut der Datenschutzkonferenz des Bundes und der Länder vom September 2020.
