Wer sich aus gegebenen Anlass – der 25. Mai 2018 steht kurz bevor – in der Blogosphäre auf die Suche nach Hilfestellungen zur “Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG” (kurz: Datenschutz-Grundverordnung, kürzer: DSGVO) begeben hat, stößt entweder auf Schimpftiraden gegen die Verfasser und Verabschieder dieses Gesetzestextes oder aber auf hysterische Abhandlungen, dass wir alle sterben werden. Als Konsequenz wird der Blog entweder direkt vom Netz genommen – zap und dunkel oder man findet zufällig an gleicher Stelle passende Trainings oder Musterunterlagen von vorgeblichen Experten. Gegen einen kleinen aber feinen Obolus, unkompliziert und total datenschutzfreundlich über einen amerikanischen Internet-Zahlungsdienstleister abgewickelt, können diese konsumiert werden, um in letzter Sekunde das Unheil abzuwenden.

Nachdem man einige Quellen gesichtet und sich die allgemeine Aufregung etwas gelegt hat, stößt man aber doch auf die ein oder andere hilfreiche Einführung bzw. Überblick:

• Podcast “DSGVO: Alles zur EU-Datenschutzgrundverordnung – Rechtsbelehrung Folge 54” von Marcus Richter und Thomas Schwenke
• “Endlich verständlich – was die neuen EU-Regeln für die Bürger bedeuten” von Patrick Beuth, Markus Böhm, Jörg Breithut und Angela Gruber
• “Countdown: Alles Wichtige zur Datenschutz-Grundverordnung der EU” von Jan Philipp Albrecht
• “Keine Website ist auch keine Lösung” von Lisa Hegemann

Nach erster Lektüre bleibt festzuhalten:

• Statische Webseiten, die im bzw. für das rein familiäre oder persönliche Umfeld betrieben werden, fallen nicht unter die DSGVO. Die Abgrenzung ist vage, scheinbar sollte der Zugriff entsprechend auf dieses Umfeld beschränkt sein, z.B. durch ein Passwort. Spätestens wenn man die typischen Blogfunktionalitäten (Kommentare, Kontaktmöglichkeit, Einbettung externer Inhalte, Webserver die Log-Dateien schreiben) in Betracht zieht, ist man ganz schnell im Geltungsbereich der DSGVO, da man damit am Ende personenbezogene Daten erhebt und verarbeitet.
• Die DSGVO ist seit dem 25. Mai 2016 in Kraft und wird am 25. Mai 2018 wirksam.
• Die DSGVO ist geltendes Recht (keine Richtlinie, die erst noch in nationaler Gesetzgebung umgesetzt werden muss) und ersetzt die EU Datenschutzrichtlinie 95/46/EG von 1995.
• Die DSGVO umfasst 99 Artikel, im PDF-Format erstrecken sie sich über 88 Seiten. Damit übersteigt sie das Erfassungs- und Interpretationsvermögen des Durchschnittsbürgers bei weitem.
• Es wird ein Abmahngeschäft einer ganz neuen Dimension befürchtet, obwohl keiner so genau sagen kann, wie das von­stat­ten­ge­hen soll.
• Von offizieller Seite gibt es so gut wie keine Hilfestellungen, wie Ingo Dachwitz auch im Detail ausführt.
• Mein Blog wird aus rein persönlichem Interesse betrieben. Ich habe keine Kriegskasse, mit der ich einen Anwalt beauftragen oder mir über sonstige, teils zwielichtige Quellen die DSGVO-Konformität erkaufen könnte.

Nachdem klar ist, dass ich mit diesem Blog unter die DSGVO falle, ergeben sich konkret die folgenden Fragestellungen:

1. Welche Funktionen nutzte ich heute? Durch welche Erweiterungen und externen Dienstleister werden diese zur Verfügung gestellt?
2. Welche Funktionen brauche ich wirklich, um meinen Blog in der gewünschten Form zu betreiben? Auf welche könnte bzw. sollte ich besser verzichten, um meinen Blog datenschutz-konform und idealweise auch noch datensparsam zu gestalten?
3. Wie komme ich zu einer DSGVO-konformen Datenschutzerklärung?

Alles klar, los geht’s.

Der doch nicht so schnelle und einfache Weg zum datenschutzfreundlichen Blog

Eigentlich hätte ich gedacht, dass ich schon auf einem guten Weg bin, da es mir von Anfang an u.a. auch aus Datenschutzgründen wichtig war, so wenig Erweiterungen und externe Services zu nutzen, wie nur möglich. Dazu gehörte die Verwendung des datenschutzfreundlichen Social-Media Buttons Shariff oder die Aktivierung des “Erweiterten Datenschutzmodus” bei der Einbettung von YouTube-Videos. Nach DSGVO müsste ich aber trotzdem auf die Einbindung der entsprechenden Dienste hinweisen und so habe ich mich kurzer Hand dafür entschlossen, diese aus dem Blog zu schmeißen.

YouTube-Einbettungen haben sich zum Teil sehr einfach per Suchen & Ersetzen entfernen lassen. In manchen Fällen musste der Blogpost dann doch direkt editiert werden. Also schnell den Einbettungscode löschen, durch den direkten Link ersetzten und speichern. Aber halt, bei Nachkontrolle war das Video schon wieder eingebettet. Der eingebaute Editor von WordPress fügt, vermutlich zur Unterstützung unversierter Nutzer, automatisch Einbettungscodes zu jedem YouTube-/Vimeo-/Whatever-Link hinzu. Nett gemeint, dass war in diesem Fall aber kontraproduktiv und ich musste die Links ‘schützen’, indem ich sie explizit als HTML-Link deklariert habe.

Kommentare gehören einfach zu einem Blog. Eine Kontaktmöglichkeit sollte auch geboten sein, ganz unabhängig von einer möglichen Impressumspflicht und §5 TMG bzw. §55 RStV Abs. 2.

Einen Dienst hätte ich bei den ganzen Überlegungen fast vergessen. Der Spam-Erkennungsdienst Akismet leistet mir seid der ersten Stunde treue Dienste, schnurrt unauffällig im Hintergrund des Blogs und dürfte mittlerweile sicher die Grenze von über 100.000 erkannten Spam-Kommentaren geknackt haben. Trotzdem sollte ich meine Benutzer darauf hinweisen, dass jeder Kommentar zum Abgleich mit der Spam-Datenbank außer Landes geschafft wird.

Zweitweise hatte ich auch ein Statistik-Plugin am Laufen (WP Statistics), welches die IP-Adressen der Besucher nach Konfiguration pseudonymisiert hat und die Daten direkt auf meinem Server vorgehalten hat. Am Ende wurde es aber kaum genutzt und da ist mir eine kürzere und einfachere Datenschutzerklärung lieber. Im Notfall kann ich immer noch auf die Server-Logs zurückgreifen, die aber datenschutzfreundlich die letzte Stelle der IP-Adresse ausnullen.

Soweit so gut. Hätte ich eigentlich gedacht. Zum Abschluss noch schnell das Ladeverhalten meines Blogs testen, um wirklich sicher zu sein, dass keine ungewollten Cookies gesetzt oder externe Inhalte geladen werden. Am Besten geht dies über die eingebauten Web-Entwickler-Tools des Browsers (Firefox: Seiteninspektor, Chrome: DevTools) oder über den schwedischen Webdienst “How privacy-friendly is your site?”, der automatisch viele Aspekte zum Schutz der Privatsphäre versucht zu prüfen.

Und siehe da, mein Standard-Wordpress-Theme integriert ohne mein Wissen Google-Fonts und lädt diese mit jedem Seitenaufruf direkt von Google. Etwas erschreckend, wie durchseucht mit Google die Webtechnologie mittlerweile ist. Ein schnelle Abhilfe war mit dem Plugin Disable Google Fonts möglich. Mal schauen, ob und wie sich das Schriftbild hier wieder verschönern lässt.
Update 27.06.2018: Mit dem Plugin Self-Hosted Google Fonts gibt es nun die Möglichkeit, etwaig genutzte Google-Fonts selbst zu hosten. Das ganze funktioniert vollautomatisch, d.h. das Plugin scanned nach Aktivierung die eigene Wordpess-Instanz nach eingebundenen Google-Fonts und lädt diese in einen lokalen Cache. Von dort werden sie an alle zukünftigen Besucher ausgeliefert, ohne Kontakt zu Google.

Damit war die Analyse und Optimierung meines Blogs zumindest fürs Erste abgeschlossen.

Erstellung der Datenschutzerklärung

Nachdem ich mich selbst nicht in der Lage gesehen habe, eine rechtskonforme Datenschutzerklärung zu schmieden, war ich auf externe Hilfestellung angewiesen. Diese gibt es in zwei Formen:

Als fertige Dokumentenvorlage, die idealweise den ein oder anderen hilfreichen Kommentar zu Bedeutung bzw. notwendigen Anpassungen enthält:

• “Musterdatenschutzerklärung für Websitebetreiber nach den Vorgaben der DSGVO” von Thomas Hoeren
• “DSGVO Muster Datenschutzerklärung 2018” von Maximilian Greger

Als Wizard bzw. Generator, welcher konkrete Bedürfnisse und Besonderheiten abfragt und daraus eine individuelle Datenschutzerklärung generiert:

• “Datenschutz-Generator.de” von Thomas Schwenke

Zu Beginn habe ich mich mit einer Vorlage wohler gefühlt, da ich so gezwungen wurde, mich mit der ein oder anderen Betrachtung selbst auseinanderzusetzen. Am Ende wurde aber der Generator gewählt, da er die einzelnen Aspekte übersichtlicher gegliedert hat und mir die resultierende Erklärung stimmiger erschien. Im Nachgang wurde das Ergebnis trotzdem noch leicht überarbeitet. Ich habe Teile gestrichen, die meines Erachtens nicht auf diesen Blog zutreffen und manches ergänzt, dass mir wichtig war, aber in dieser Form nicht Bestandteil der Datenschutzerklärung war.

Sollte eine bestimme Funktion bzw. genutzter externer Dienst nicht von den Hilfestellungen adressiert werden, sollte man lt. DSGVO auf die folgenden Aspekte eingehen:

• Umfang der Verarbeitung und Art der personenbezogenen Daten
• Rechtsgrundlage für die Verarbeitung personenbezogener Daten
• Zweck der Datenverarbeitung
• Dauer der Speicherung
• Widerspruchs- und Löschmöglichkeit

Es war ein nicht unerheblicher Aufwand, aber jetzt steht sie: Die Datenschutzerklärung.

Ich hoffe das damit mein Blog – nach bestem Wissen und Gewissen – die DSGVO hinreichend berücksichtigt.

P.S.: Eine ähnliche Odyssee hat Johannes Kübler in seinem lesenswerten Beitrag “WordPress und DSGVO” beschrieben.