DSGVO: Der Einfache Weg Zum Ziel

//DSGVO: Der Einfache Weg Zum Ziel

Der Einfache Weg zur DSGVO. Privacy by Design.

DSGVO auf die Einfache Art

Hinweis: Ich bin kein Anwalt und meine Kommentare zur DSGVO sind keineswegs als Rechtsberatung zu verstehen. Wenn Sie ein Online-Geschäft oder eine E-Commerce-Website betreiben, sollten Sie nach Möglichkeit professionelle Rechtsberatung in Anspruch nehmen.

Der 25. Mai 2018 war für viele Menschen ein wirklich beängstigendes Datum. Es war das Datum, an dem die neue EU-Datenschutzverordnung, die Datenschutz-Grundverordnung – DSGVO, in Kraft trat. Hier ist eine kurze Einführung und Definition nach dem Wikipedia-Eintrag:

Die Datenschutz-Grundverordnung (DSGVO; englisch General Data Protection Regulation, GDPR, französisch Règlement général sur la protection des données, RGPD) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, und auch andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Wie viele andere verbrachte ich unzählige Stunden, Wochen und schlaflose Nächte damit, herauszufinden, wie man mit dieser neuen EU-Verordnung umgehen sollte. Und wie kann man die Einschränkungen, die es den Webentwicklern, den E-Commerce-Besitzern und den Herausgebern von Inhalten mit sich bringt, am besten ausgleichen? Die DSGVO wirkt sich grundsätzlich auf jede Website des Planeten aus.

Für größere Unternehmen, Inhalteanbieter und insbesondere E-Commerce-Unternehmen ist die DSGVO ein echtes Problem. Bei kleineren Websites, solchen Blogs und reinen Content-basierten Unternehmenswebsites ist es viel einfacher, mit diesen neuen Bestimmungen umzugehen.

DSGVO:

Nicht nur sind einige Passagen des Gesetzestextes nicht wirklich klar und lassen mehrere Grauzonen zurück, auch die verschiedenen Übersetzungen in verschiedenen europäischen Sprachen scheinen kleinere Probleme und Übersetzungsinkonsistenzen zu enthalten.

Mit der DSGVO zum Frieden kommen

Aber schließlich bin ich mit der DSGVO zur Ruhe gekommen.

Ich bemerkte einen signifikanten Anstieg des Wohlbefindens, nachdem ich festgestellt hatte, dass der einzige Weg, um damit umzugehen und eine existierende Website so zu modifizieren, dass sie mit der DSGVO „einigermaßen konform“ ist, der Geist von FOSS (Freie Open Source Software) ist.

Bedeutung:

Lassen Sie alle Plugins von Drittanbietern los, oder zumindest jene Plugins, die Daten an einen Drittanbieter übertragen. Hör auf Social-Media-Integrationen zu verwenden, keine Facebook-ähnlichen Buttons mehr. Keine eingebetteten Twitter-Feeds ohne ausdrückliche Zustimmung des Besuchers. Keine Google Maps, kein ReCaptcha. Kein Akismet Anti-SPAM, keine Gravatare in den Kommentaren. Kein Google Analytics. Nein…

Sie nennen es. Die Liste ist lang.

Im Laufe der Jahre haben sich Webentwickler daran gewöhnt, Inhalte von Drittanbietern einzubetten. Sowie die praktischen Funktionen vieler Plugins und Module. Anstatt sich an die Grundlagen zu halten, sind viele Websites mit Plugins und Funktionen aufgebläht.

Auch Google Fonts übertragen IP-Adressen, wenn sie über das Google CDN ausgeliefert werden. Sie müssen sie also abholen und von Ihrem Server aus bereitstellen, um die Übertragung potenzieller personenbezogener Daten an Drittunternehmen zu vermeiden.

Zurück zu Self-Hosted Open Source-Lösungen

Wenden Sie sich stattdessen auf selbst gehostete Open Source-Lösungen und Alternativen zurück.

Es ist Zeit, Ihre Website aufzuräumen!

Dies ist besonders für eher einfache Unternehmenswebsites eine gute Option. Stellen Sie sich die Frage: Brauchen Sie wirklich Google Analytics, um einfache Besucherstatistiken zu sammeln?

Ja, wenn Sie ein E-Commerce-Unternehmen sind und Ziele und Remarketing einrichten müssen, während Sie Ihre Nutzer segmentieren, ist Google Analytics eine wirklich leistungsstarke Option, auf die Sie wahrscheinlich nicht verzichten möchten.

Aber für eine kleinere Unternehmens-Website oder eine WordPress-Website ohne E-Commerce-Funktionalität ist vielleicht eine etwas einfachere Option wie Matomo (früher bekannt als Piwik) ist auch eine gute Option.

Verbesserte Seitengeschwindigkeit. Der kollaterale Nutzen der DSGVO.

Es ist wirklich ein großer Vorteil, Plug-ins von Drittanbietern zu vermeiden:

Seitengeschwindigkeit und Seitenleistung

Nachdem Sie Ihre Website bereinigt und nur das Nötigste ausgeführt haben, werden Sie eine deutliche Erhöhung der Seitengeschwindigkeit bemerken. Sie reduzieren HTTP-Anforderungen, Sie verringern die Datenübertragung und Ihre Website wird schneller geladen. Viel schneller, ohne den Overhead all der Unordnung und Plugins.

Dies führt zu verbesserter SEO und besseren Suchmaschinen-Rankings. IMHO und für die meisten Unternehmen lohnt es sich, darüber nachzudenken, ob dieser Vorteil nicht wichtiger ist als die Vorteile, die Sie durch das Einbetten eines Facebook-ähnlichen Buttons oder das Bereitstellen von Google Fonts von seinem CDN anstatt direkt von Ihrem Server erhalten.

Open Source Alternativen zu 3rd Party WordPress Plugins

Werfen wir einen kurzen Blick auf die Schritte, die ich unternommen habe, um sicherzustellen, dass eine Content-only-basierte WordPress-Website so konform geht wie möglich.

Im Folgenden finden Sie eine Liste mit den Alternativen, die ich zur Beibehaltung der grundlegenden Funktionen verwendet habe, und dabei die Datenübertragung an Dritte zu vermeiden:

Akismet

Akismet ist ein Spam-Filterdienst, der Spam aus Kommentaren, Trackbacks und Kontaktformularnachrichten herausfiltert. Es ist ein Service von Automattic, einem Unternehmen, das für WordPress.com bekannt ist. Außerdem liefert Automattic wichtige Beiträge zum WordPress-Projekt.

Da Akismet in jeder Standard-WordPress-Installation enthalten ist, wird es von Millionen von Websites weltweit verwendet. Und es macht wirklich gute Arbeit, Spam zu verhindern.

Der Nachteil ist jedoch, dass persönliche Daten an die Akismet-Server in den USA übertragen werden:

Wenn ein Kommentar auf Spam überprüft wird, werden die Informationen, die der Kommentator zur Verfügung gestellt hat, an die Akismet-Server übertragen. Dazu gehören der Name, die E-Mail-Adresse, die Website-URL und der Kommentar selbst.

Dies führt sicherlich zu einem Konflikt mit der DSGVO. Insbesondere wenn / wenn persönliche Benutzerdaten an einen Server außerhalb der EU und ohne ausdrückliche Zustimmung des Nutzers übermittelt werden.

Soweit ich weiß, arbeitet Akismet immer noch daran, ihr Plugin und ihren Service so zu modifizieren, dass sie mit der DSGVO konform sind. Und es ist wahrscheinlich, dass es ihnen nicht möglich sein wird, die 100% ige Einhaltung zu erreichen.

Das Ausführen einer Website ohne Anti-Spam-Maßnahmen ist keine gute Option.

Was ist die Lösung dafür?

Nun, kehren Sie zu einem anderen freien Open-Source-Plugin zurück. Nachdem ich verschiedene Optionen getestet habe, habe ich beschlossen, Antispam Bee zu verwenden viele meiner WordPress-Seiten.

Hier ist ein Zitat von der Antispam Bee Website:

Sagen Sie Tschüss, um Spam in Ihrem WordPress-Blog oder auf Ihrer Website zu kommentieren. Antispam Bee blockiert Spam-Kommentare und Trackbacks effektiv, ohne Captchas und ohne persönliche Daten an Drittanbieter zu senden. Es ist kostenlos, werbefrei und 100% GDPR konform.

Ich bin sehr zufrieden damit: Bisher hat noch kein automatisierter Spam meine Seiten erreicht.

reCAPTCHA von Google

Während wir dabei sind und über Anti-Spam-Maßnahmen sprechen, sollten wir reCAPTCHA erwähnen. Es ist nicht leicht, sich das Internet ohne es vorzustellen:
Wir alle haben uns daran gewöhnt zu bestätigen, dass wir keine Roboter sind und Bilder von Autos, Straßen und Bergen anklicken.

Es gab einige Kritik in Bezug auf Google für die Verwendung von reCAPTCHA „zu Unrecht Menschen auf der ganzen Welt zu verwenden, um es zu helfen, Bücher, Adressen und Zeitungen ohne Entschädigung zu transkribieren.

Außerdem wurde reCAPTCHA als „ernsthafte Barriere für die Internetnutzung“ für Menschen mit Sehproblemen und Leseschwächen bezeichnet.

In Bezug auf die DSGVO gibt es ein ähnliches Problem wie bei Akismet:

Daten werden an Drittserver außerhalb der Europäischen Union übermittelt. Da reCAPTCHA auf jeder Seite geladen wird, auf der es enthalten ist, ist es nicht einfach, eine ausdrückliche Zustimmung zu erteilen, ganz gleich, ob der Benutzer tatsächlich Formulare senden und den Dienst verwenden möchte. reCAPTCHA kann verwendet werden, um personenbezogene Daten zu erheben.

Vitale Interessen & Artikel 6 § 1d und 1f

Einige Leute würden argumentieren, dass ReCAPTCHA (und auch Akismet) unter Artikel 6, Abschnitte 1d und 1f fallen würden. Auch Erwägungsgrund 49.

processing is necessary in order to protect the vital interests of the data subject or of another natural person

und 1f:

processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

Außerdem könnte der oft zitierte Erwägungsgrund 49 gelten:

The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, […] by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems.

Das Argument wäre, dass Sie als Unternehmen ein legitimes Interesse daran haben, Spam zu reduzieren. Spam nehmen Sie Ihre Zeit und Ihre Ressourcen auf.

Daher gehen einige Leute davon aus, dass das Reduzieren von Spam ein legitimes Interesse für ein Unternehmen darstellt und somit das Senden von persönlichen Benutzerinformationen an einen Drittserver außerhalb der Union nicht im Widerspruch zu der DSGVO steht.

Persönlich bin ich von diesem Argument nicht überzeugt:

Wenn es technisch möglich ist, Ihr Geschäftsinteresse – in diesem Fall Spam zu bekämpfen – auf andere Weise zu schützen als die Übermittlung von Benutzerdaten an Dritte, dann sehe ich wirklich nicht, wie die DSGVO dies unterstützen könnte.

Auch hier gibt es noch viele Unsicherheiten und offene Fragen bezüglich der DSGVO. Wir werden sicherlich in den nächsten Jahren mehr Klarheit gewinnen, insbesondere im Jahr 2019, wenn weitere Rechtsvorschriften eingeführt werden.

Um auf der sicheren Seite zu sein und um sicherzustellen, dass Sie dem „Geist der DSGVO“ entsprechen, rate ich Ihnen, wenn möglich sowohl Akismet als auch reCAPTCHA zu vermeiden.

Die Honigtopflösung

Wenn Sie für Ihre Kontaktformulare eine grundlegende Anti-Spam-Funktion benötigen, können Sie einen so genannten Honeypot einrichten. Auf dieser Seite https://danten.io verwende ich das Kontaktformular 7 und das Kontaktformular 7 Honeypot Plugin. So funktioniert es:

Diese einfache Ergänzung des wunderbaren Contact Form 7 (CF7) -Plugins bietet eine grundlegende Honeypot-Anti-Spam-Funktionalität, um Spambots zu verhindern, ohne dass ein hässliches Captcha benötigt wird.

Das Prinzip eines Honigtopfs ist einfach – Bots sind dumm. Während einige Spam-Mails von Hand zugestellt werden, wird die überwiegende Mehrheit von Bots gesendet, die auf eine bestimmte (weit reichende) Weise gescriptet wurden, um Spam an die größte Anzahl von Formulartypen zu senden. Auf diese Weise füllen sie blindlings Felder aus, unabhängig davon, ob das Feld ausgefüllt werden soll oder nicht. So fängt ein Honigtopf den Bot ab – er fügt ein zusätzliches Feld in der Form ein, das, wenn er ausgefüllt ist, das Formular nicht validiert.

[Work in progress – die folgenden Plugins sind noch abzudecken]

* Gravatare
* Google Analytics
* Google Schriftarten
* Google Maps
* Youtube

Hinweis: Ich bin kein Anwalt und meine Kommentare zur DSGVO sind keineswegs als Rechtsberatung zu verstehen. Wenn Sie ein Online-Geschäft oder eine E-Commerce-Website betreiben, sollten Sie nach Möglichkeit professionelle Rechtsberatung in Anspruch nehmen.

By |2018-10-23T21:30:25+00:00Juni 18th, 2018|Kategorien: Datenschutz|Tags: |

Über den Autor:

Digital Marketing Engineer, Multilingual SEO Expert, Search Engine Marketing Professional, Technical SEO, LAMP Stack Application Fan & FOSS Enthusiast, PPC Advertiser, Debian & Devuan GNU/Linux System Administrator, CRM Solution Provider, Joomla! Webmaster, WordPress Virtuoso & OpenCart E-Commercialist. Standing on the Shoulders of Giants.

Leave A Comment