WordPress & Webwork

Das Schreckgespenst DSGVO, Teil 2

Der zweite Teil der Artikelserie zum Thema DSGVO. Diesmal u. a. zum Thema MailChimp und Google Analytics.

Nach dem ich mich im ersten Teil dieser Reihe mit Cookies, Webfonts & CSS-/JS-Librarys beschäftigt habe, werde ich mich in diesem Blogartikel dem Thema SSL/https, Google Analytics, Anti-Spam-Plugins, MailChimp und Social-Buttons widmen.

Umstieg auf https

Über dieses Thema habe ich bereits schon mehrfach geschrieben, nicht zuletzt in diesem Blogartikel:

Umfangreiche WordPress-Websites auf https umstellen

Dort habe ich nicht nur eine Anleitung verfasst, wie man auf https umsteigt sondern auch die Gründe genannt, warum man von http auf https "umziehen" sollte: schwaches SEO-Ranking, unter bestimmten Voraussetzung gibt es einen kleinen Performance-Schub, was noch wichtiger ist: es wird die Kommunikation zwischen dem Browser und der Website verschlüsselt. Darüber hinaus schrieb ich noch folgendes:

Darüber hinaus gibt es gesetzliche Bestimmungen, die Betreiber von Websites verpflichten Seiten mit Kontaktformularen bzw. deren Datenübertragung zu verschlüsseln. Das läuft im Endeffekt darauf hinaus, dass man zumindest diese Unterseite auf https umstellt … und wenn man schon da ist, kann man es auch mit ganzer Präsenz machen.

Wenn man es eng nimmt, würden Blogkommentar-Formulare auch darunter fallen.

Also ist meine Empfehlung hierbei klar. Wenn man schon dabei ist die Website DSGVO-konform zu machen, dann ist die höchste Zeit der Website auch das https zu gönnen.

Google Analytics

Über die korrekte bzw. Datenschutz-konforme Einbindung von Google Analytics wird schon lange berichtet. Es ist nach wie vor so, dass man die IP anonymisiert übertragen und dass man die Auftragsdatenverarbeitung mit Google abschließen muss.

Der Hinweis auf GA im Datenschutztext, so wie die Erweiterung des GA-Codes um einen Opt-Out-Cookie waren bis jetzt auch notwendig. Was sich auf jeden Fall ändert ist, dass man die Datenaufbewahrung einstellen und die den Datenschutztext aktualisieren bzw. erweitern muss:

In wie fern das Positionspapier (pdf) der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) vom 26. April 2018 zur Geltung kommen wird, bleibt abzuwarten.

Anti-Spam-Plugins

Der Einsatz von Aksimet war auch schon in der Vergangenheit nicht ganz unproblematisch. Deswegen, und aus einer Reihe an anderen Gründen, nutze ich auf meinen Projekten schon seit einigen Jahren Antispam Bee. Dort muss man allerdings darauf achten, dass man Öffentliche Spamdatenbank berücksichtigen nicht aktiviert.

Antispam Bee in WordPress richtig konfigurieren um Spam zu minimieren

Allerdings arbeiten die Entwickler fleißig daran bald eine neue Version zu veröffentlichen.

MailChimp

MailChimp nutze ich seit dem Jahr 2011, seit dem ich auch den WordPress-Newsletter betreibe. Das worauf man bei der Einbindung und dem Betreiben von Newsletter schon in der Vergangenheit achten musste – u. a. Einsatz von Double-Opt-In, Hinweis im Datenschutztext etc. – gilt nach wie vor. Spätestens jetzt müsste man die Auftragsdatenverarbeitung mit MailChimp abschließen und ggfl. den Datenschutztext aktualisieren.

Wenn man diese Bedingungen erfüllt, steht dem Einsatz von MailChimp meiner Meinung nichts mehr im Wege.

Buttons von sozialen Netzwerken

Wer Eine Lösung basierend auf Shariff nutzt, der muss sich keine Sorgen machen und muss auch nicht viel unternehmen. Hier eine Anleitung, wie man es in WordPress umsetzen könnte:

Shariff Wrapper: datenschutzkonforme Social-Media-Buttons in WordPress

Hier passiert eine Kommunikation mit dem jeweiligen Netzwerk erst wenn der Besucher auf den Link klickt und auch dann bleibt der Besucher geschützt:

Shariff tritt hier als Zwischeninstanz auf: An Stelle des Browsers fragt der Server des Webseiten-Betreibers die Zahl der Likes ab – und dies auch nur einmal pro Minute, um den Traffic in Grenzen zu halten. Der Besucher bleibt hierbei anonym.

Quelle: Shariff: Social-Media-Buttons mit Datenschutz

Im nächsten Teil werde auch auf noch evtl. offene Punkte eingehen und sonst die besprochenen Punkte aus den ersten beiden Artikel in einer Übersichtsform zusammenfassen, damit man schnell erkennt was man selber für die eigene Installation noch umsetzen müsste.

Bildnachweis: CC0-Bild, pixabay, von kellepics

17 Reaktion(en)

  1. Michael

    Hi,
    das sind wirklich sehr interessante Artikel. Aber ich hätte da noch eine Frage.

    Wenn ich den Weg zu meinen sozialen Netzwerken nur über Shariff und Textlinks ermögliche, also keine Netzwerke wie Facebook, Instagram oder Twitter in der Seite mit Plugins/Widgets einbinde und/oder anzeige, brauche ich dann überhaupt die Social-Media-Hinweise zu den einzelnen Netzwerken in der Datenschutzerklärung, also jeweils einen eigenen Punkt für Facebook, für Instagram und Twitter? Natürlich abgesehen vom Eintrag über die Shariff-Nutzung.

    Viele Grüße,
    Michael

    1. Vladimir

      Hallo Michael,

      da bin ich mir momentan nicht zu 100% sicher, aber ich speichere (temporär) nur das was ich für den eigentlichen Auftrag brauche. In aller Regel sind das keine persönlichen Daten. Ich nutze auch kein CRM und die E-Mail-Verkehr muss ich 10 Jahre lang speichern. Deswegen sehe ich bei mir selber diesbezüglich keinen Handlungsbedarf, außer dass ich demnächst die AGB erweitern werde.

      1. MIchael Oeser

        Du machst doch aber Support für Kunden und hast Zugang zu WordPress Installationen. Damit bist Du deFacto Auftragsdatenverarbeiter. Es reicht nämlich offenbar aus, dass Du Zugang zu den Daten hast, Du musst sie nicht unbedingt auf Deinen Systemen speichern oder verarbeiten. Ich wollte es auch nicht glauben, aber diverse Anwälte, die sich mit dem Thema intensiv befassen haben mir das so bestätigt.

        1. Vladimir

          Du machst doch aber Support für Kunden und hast Zugang zu WordPress Installationen.

          WP-Zugangsdaten die ich bekomme sind in aller Regel auf mich/uns abgestimmt, also extra Zugänge für uns. Das sind keine persönlichen Daten des Kunden. Es sind technisch notwendige Daten, die ich für die Auftragsdurchführung brauche. Sollte der Kunde mir aber z.B. eine Liste mit irgendwelchen persönlichen Informationen zuschicken (z.B. Adressen der Mitarbeiter), dann muss es eine Auftragsdatenverarbeitung zwischen mir und dem Kunden geben egal ob ich diese speichere oder nicht.

  2. Ines

    Danke für den Hinweis auf MailChimp. Das E-Mail-Abo via Feedburner werde ich abstellen. Eine Frage habe ich dazu: Wenn ich nicht nur den E-Mail-Versand lösche, sondern den ganzen Feed in Feedburner, ist dann der komplette RSS-Feed gelöscht oder nur die Daten in Feedburner?

  3. Thyra

    Hallo Vladimir,

    vielen Dank für Deine beiden Artikel zu dem Thema! Das ist eine sehr nützliche Zusammenfassung.

    Was mich noch umtreibt und wozu ich bisher noch nichts gefunden habe, ist das Blog- bzw. Kommentar-Abo via Jetpack. Ich finde zu Jetpack zwar haufenweise Artikel, die sich mit der Statistikfunktion beschäftigen, habe aber bisher noch nichts dazu gefunden, was mit den Abo-Funktionen von Jetpack ist. Nach meinem Verständnis landen die E-Mails der Nutzer bei Auttomatic und ich als Blogbetreiber habe da keinerlei Kontrolle drüber (und damit auch keine Auskunftsmöglichkeit bei Anfragen). Hast Du einen Hinweis für mich, wo ich dazu etwas finden kann?

    Ein weiteres Thema, was ich in Beiträgen zur DSGVO für Blogger auch noch nicht gefunden haben, sind die Fristen für Antwortzeiten bei Auskunftsanfragen. Bei meinen Day-Job habe ich mitbekommen, dass die ziemlich kurz und obligatorisch sind. Das ist doch daher eigentlich auch vor allem für nebenberufliche und Hobby-Blogs relevant. Hast Du dazu Infos?

    Vielen Dank und viele Grüße,
    Thyra

  4. Jürgen

    Hallo Vladimir,
    am https bin ich dran, lese ich gleich in deinem anderen Artikel…
    Akismet fliegt auch raus 8danke für den Hinweis!)
    Zu Facebook und Co.: Reichtes aus, wenn ich weiter, wie bereits seit Jahren, auf das "2 Click Social Media Buttons" Plug-in setze?
    Danke und viele Grüße
    Jürgen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

WordPress-Wartung & Betreuung

Wir kümmern uns um Ihre WordPress-Website:

WordPress-Wartung und Betreuung

 WordPress-Wartung und Betreuung