Nach dem ich mich im ersten Teil dieser Reihe mit Cookies, Webfonts & CSS-/JS-Librarys beschäftigt habe, werde ich mich in diesem Blogartikel dem Thema SSL/https, Google Analytics, Anti-Spam-Plugins, MailChimp und Social-Buttons widmen.
Umstieg auf https
Über dieses Thema habe ich bereits schon mehrfach geschrieben, nicht zuletzt in diesem Blogartikel:
Umfangreiche WordPress-Websites auf https umstellen
Dort habe ich nicht nur eine Anleitung verfasst, wie man auf https umsteigt sondern auch die Gründe genannt, warum man von http auf https “umziehen” sollte: schwaches SEO-Ranking, unter bestimmten Voraussetzung gibt es einen kleinen Performance-Schub, was noch wichtiger ist: es wird die Kommunikation zwischen dem Browser und der Website verschlüsselt. Darüber hinaus schrieb ich noch folgendes:
Darüber hinaus gibt es gesetzliche Bestimmungen, die Betreiber von Websites verpflichten Seiten mit Kontaktformularen bzw. deren Datenübertragung zu verschlüsseln. Das läuft im Endeffekt darauf hinaus, dass man zumindest diese Unterseite auf https umstellt … und wenn man schon da ist, kann man es auch mit ganzer Präsenz machen.
Wenn man es eng nimmt, würden Blogkommentar-Formulare auch darunter fallen.
Also ist meine Empfehlung hierbei klar. Wenn man schon dabei ist die Website DSGVO-konform zu machen, dann ist die höchste Zeit der Website auch das https zu gönnen.
Google Analytics
Über die korrekte bzw. Datenschutz-konforme Einbindung von Google Analytics wird schon lange berichtet. Es ist nach wie vor so, dass man die IP anonymisiert übertragen und dass man die Auftragsdatenverarbeitung mit Google abschließen muss.
Der Hinweis auf GA im Datenschutztext, so wie die Erweiterung des GA-Codes um einen Opt-Out-Cookie waren bis jetzt auch notwendig. Was sich auf jeden Fall ändert ist, dass man die Datenaufbewahrung einstellen und die den Datenschutztext aktualisieren bzw. erweitern muss:
In wie fern das Positionspapier (pdf) der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) vom 26. April 2018 zur Geltung kommen wird, bleibt abzuwarten.
Anti-Spam-Plugins
Der Einsatz von Aksimet war auch schon in der Vergangenheit nicht ganz unproblematisch. Deswegen, und aus einer Reihe an anderen Gründen, nutze ich auf meinen Projekten schon seit einigen Jahren Antispam Bee. Dort muss man allerdings darauf achten, dass man Öffentliche Spamdatenbank berücksichtigen nicht aktiviert.
Antispam Bee in WordPress richtig konfigurieren um Spam zu minimieren
Allerdings arbeiten die Entwickler fleißig daran bald eine neue Version zu veröffentlichen.
MailChimp
MailChimp nutze ich seit dem Jahr 2011, seit dem ich auch den WordPress-Newsletter betreibe. Das worauf man bei der Einbindung und dem Betreiben von Newsletter schon in der Vergangenheit achten musste – u. a. Einsatz von Double-Opt-In, Hinweis im Datenschutztext etc. – gilt nach wie vor. Spätestens jetzt müsste man die Auftragsdatenverarbeitung mit MailChimp abschließen und ggfl. den Datenschutztext aktualisieren.
Wenn man diese Bedingungen erfüllt, steht dem Einsatz von MailChimp meiner Meinung nichts mehr im Wege.
Buttons von sozialen Netzwerken
Wer Eine Lösung basierend auf Shariff nutzt, der muss sich keine Sorgen machen und muss auch nicht viel unternehmen. Hier eine Anleitung, wie man es in WordPress umsetzen könnte:
Shariff Wrapper: datenschutzkonforme Social-Media-Buttons in WordPress
Hier passiert eine Kommunikation mit dem jeweiligen Netzwerk erst wenn der Besucher auf den Link klickt und auch dann bleibt der Besucher geschützt:
Shariff tritt hier als Zwischeninstanz auf: An Stelle des Browsers fragt der Server des Webseiten-Betreibers die Zahl der Likes ab – und dies auch nur einmal pro Minute, um den Traffic in Grenzen zu halten. Der Besucher bleibt hierbei anonym.
Quelle: Shariff: Social-Media-Buttons mit Datenschutz
Im nächsten Teil werde auch auf noch evtl. offene Punkte eingehen und sonst die besprochenen Punkte aus den ersten beiden Artikel in einer Übersichtsform zusammenfassen, damit man schnell erkennt was man selber für die eigene Installation noch umsetzen müsste.
Bildnachweis: CC0-Bild, pixabay, von kellepics
Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienstleistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.
Bezüglich AntiSpam-Bee – hier ein interessanter Artikel darüber wie man IPs anonymisieren kann, ohne AntiSpam Bee in die Quere zu kommen:
https://www.internetkurse-koeln.de/wordpress-kommentar-ip-adressen-nicht-speichern-warum-und-wie/
Hi,
das sind wirklich sehr interessante Artikel. Aber ich hätte da noch eine Frage.
Wenn ich den Weg zu meinen sozialen Netzwerken nur über Shariff und Textlinks ermögliche, also keine Netzwerke wie Facebook, Instagram oder Twitter in der Seite mit Plugins/Widgets einbinde und/oder anzeige, brauche ich dann überhaupt die Social-Media-Hinweise zu den einzelnen Netzwerken in der Datenschutzerklärung, also jeweils einen eigenen Punkt für Facebook, für Instagram und Twitter? Natürlich abgesehen vom Eintrag über die Shariff-Nutzung.
Viele Grüße,
Michael
Meiner Meinung nach sollte es ausreichen wenn man dann nur auf die Verwendung von Shariff hinweist.
Hey!
Danke! Hast Du eine Idee wie mit eingebetteten Postings von Soundcloud, Facebook und Twitter umzugehen ist?
Hallo Matthias,
damit habe ich mich gar nicht beschäftigt. Aber wenn ich die Erfahrungen des Likebuttons von FB heranziehen kann, dann ist zumindest Facebook in diesem Zusammenhang problematisch.
All diese Embeds setzen vermutlich Cookies und tracken zumindest die IP = persönliches Datum = Problematisch im Hinblicck auf die DSGVO.
Hi Vlad,
wie hälst Du es mit AV Verträgen mit Deinen Kunden? Kennst Du eine Möglichkeit sowas online am besten in WP anzubieten? Oder machst Du es ganz old-school per Ausdruck und Post?
Gruß
Michael
Hallo Michael,
da bin ich mir momentan nicht zu 100% sicher, aber ich speichere (temporär) nur das was ich für den eigentlichen Auftrag brauche. In aller Regel sind das keine persönlichen Daten. Ich nutze auch kein CRM und die E-Mail-Verkehr muss ich 10 Jahre lang speichern. Deswegen sehe ich bei mir selber diesbezüglich keinen Handlungsbedarf, außer dass ich demnächst die AGB erweitern werde.
Du machst doch aber Support für Kunden und hast Zugang zu WordPress Installationen. Damit bist Du deFacto Auftragsdatenverarbeiter. Es reicht nämlich offenbar aus, dass Du Zugang zu den Daten hast, Du musst sie nicht unbedingt auf Deinen Systemen speichern oder verarbeiten. Ich wollte es auch nicht glauben, aber diverse Anwälte, die sich mit dem Thema intensiv befassen haben mir das so bestätigt.
WP-Zugangsdaten die ich bekomme sind in aller Regel auf mich/uns abgestimmt, also extra Zugänge für uns. Das sind keine persönlichen Daten des Kunden. Es sind technisch notwendige Daten, die ich für die Auftragsdurchführung brauche. Sollte der Kunde mir aber z.B. eine Liste mit irgendwelchen persönlichen Informationen zuschicken (z.B. Adressen der Mitarbeiter), dann muss es eine Auftragsdatenverarbeitung zwischen mir und dem Kunden geben egal ob ich diese speichere oder nicht.
Hinweis:
Block “Google Analytics”, zweiter Absatz, erste Zeile:
“Opt-Our-Cookie” ???
Könnte das süße “Opt-Out-Cookie” gemeint sein? 😉
Wech mit dem Kommentar danach. 😉
Danke für den Hinweis auf MailChimp. Das E-Mail-Abo via Feedburner werde ich abstellen. Eine Frage habe ich dazu: Wenn ich nicht nur den E-Mail-Versand lösche, sondern den ganzen Feed in Feedburner, ist dann der komplette RSS-Feed gelöscht oder nur die Daten in Feedburner?
Hallo Vladimir,
vielen Dank für Deine beiden Artikel zu dem Thema! Das ist eine sehr nützliche Zusammenfassung.
Was mich noch umtreibt und wozu ich bisher noch nichts gefunden habe, ist das Blog- bzw. Kommentar-Abo via Jetpack. Ich finde zu Jetpack zwar haufenweise Artikel, die sich mit der Statistikfunktion beschäftigen, habe aber bisher noch nichts dazu gefunden, was mit den Abo-Funktionen von Jetpack ist. Nach meinem Verständnis landen die E-Mails der Nutzer bei Auttomatic und ich als Blogbetreiber habe da keinerlei Kontrolle drüber (und damit auch keine Auskunftsmöglichkeit bei Anfragen). Hast Du einen Hinweis für mich, wo ich dazu etwas finden kann?
Ein weiteres Thema, was ich in Beiträgen zur DSGVO für Blogger auch noch nicht gefunden haben, sind die Fristen für Antwortzeiten bei Auskunftsanfragen. Bei meinen Day-Job habe ich mitbekommen, dass die ziemlich kurz und obligatorisch sind. Das ist doch daher eigentlich auch vor allem für nebenberufliche und Hobby-Blogs relevant. Hast Du dazu Infos?
Vielen Dank und viele Grüße,
Thyra
Opt-Our-Cookie ???
(“Google Analytics” – 2. Absatz)
… oder sind Eure Posts un-editierbar nach dem Anlegen?
Hallo Vladimir,
am https bin ich dran, lese ich gleich in deinem anderen Artikel…
Akismet fliegt auch raus 8danke für den Hinweis!)
Zu Facebook und Co.: Reichtes aus, wenn ich weiter, wie bereits seit Jahren, auf das “2 Click Social Media Buttons” Plug-in setze?
Danke und viele Grüße
Jürgen
Wie sieht es denn mit VG Wort aus?
Der Frage schliesse ich mnich an? VG Wort zum einen, zum anderen würde mich deine Meinung zu Tools wie YAlst (LiveChat) und Ticket Systeme allgemein interessieren, wenn diese extern gehostet sind bzw. wie osticket im WordPress eingebunden sind.
Sehr hilfreich, danke!