Softwareentwickler / Software Developer
Datenschutz Grundverordnung Symbolbild

Die DSGVO | Was habe ich unternommen?

Ab dem 25. Mai 2018 wird die neue europäische Datenschutz-Grundverordnung, kurz auch DSGVO, gültig. Im Rahmen dessen habe ich einige Anpassungen vorgenommen, um den Anforderungen hoffentlich gerecht zu werden.

In erster Linie muss ich sagen, dass ich auch vorher schon darauf geachtet habe, möglichst keine Daten zu sammeln. Ich kann damit eh nichts anfangen und möchte gerne deine Privatsphäre wahren 🙂

Datenschutzerklärung

Was mir als erstes eingefallen ist, war meine bestehende Datenschutzerklärung zu überprüfen und zu aktualisieren. Im Grunde hat sich aber nicht wirklich was verändert. Eigentlich auch ein gutes Zeichen, da es heißt, dass sie auch vorher schon ausreichend war. Für die Erstellung einer solchen Erklärung finde ich den Generator von eRecht24 sehr hilfreich.

Einbinden externer Seiten

Wenn beim Aufrufen einer Seite von mir gleichzeitig externe Inhalte geladen werden, bekommen das diese Seiten natürlich auch mit. Dies wollte ich so gut es geht umgehen.

Deaktivieren von Google Fonts

Zur Darstellung der Texte verwende ich eine Schriftart von Google Fonts. Diese wurde bisher direkt von Google geladen. Den dafür zuständigen PHP-Schnipsel habe ich auskommentiert und die benötigte Schriftart auf meinen Server geladen. So bekommt Google nicht mehr mit, wenn du meine Seite aufrufst.

Matomo statt Google Analytics

Eine Sache, die ich schon von Anfang an mache, ist, dass ich zur Analyse und Auswertung auf Matomo (ehemals Piwik) statt auf Google Analytics setze. Dieses Tool kann man eigenständig hosten, sodass hier kein Drittanbieter auf die Daten zugreifen kann. Die IP-Adresse wird in Piwik automatisch anonymisiert.

Deaktivieren von Gravatar

Standartmäßig nutzt WordPress den Gravatar-Dienst, um Benutzern anhand der E-Mail einen Profilbild zuzuweisen. Damit müssen aber Daten an Gravatar geschickt werden. Um dies zu verhindern, setze ich das Plugin WP User Avatar ein, womit ich mir unabhängig von Gravatar ein Profilbild einstellen kann.

Konfigurieren von Antispam Bee

Zur Vermeidung von Spam setze ich Antispam Bee ein. Um auch hier DSGVO-konform zu bleiben, habe ich die Konfiguration so angepasst, dass das Plugin keine Daten weitergibt. In den Einstellungen lässt sich unter anderem festlegen, dass nur die lokale Spamdatenbank verwendet wird und die Filterung nicht anhand der Sprache oder des Standortes vorgenommen wird, wofür zum Beispiel ein externer Übersetzer benutzt wird.

Kommentare unter den Beiträgen

Wie ich es in meiner Datenschutzerklärung schreibe, werden die übermittelten Daten gespeichert, damit ich gegebenenfalls mit dir in Kontakt treten kann. Außerdem ist der Name auch hilfreich für die Darstellung des Kommentars. Aber zusätzlich sollte man noch folgende Punkte beachten.

Einverständnis zum Speichern der Daten

Auch wenn es auf der Datenschutzerklärung bereits erwähnt wird, sollte man sich das Einverständnis für die Verarbeitung der eingegebenen Daten holen. Dies ist mit dem Plugin WP GDPR Compliance möglich. Zu dem Kommentarbereich und auch zum Kontaktformular lässt sich eine Checkbox hinzugefügen, die den Benutzer explizit darauf hinweist.

Double-Opt-In für das Abonnieren von Kommentaren

Gibt man einen Kommentar ab, so ist es in WordPress standartmäßig so, dass man die Kommentare des Beitrags abonniert. Da aber nicht zwangsweise auch die richtige Mail angibt oder auch einfach keine Benachrichtigung bekommen möchte, sollte man sich das Einverständnis dafür holen. Mit Subscribe to Double Opt-In Comments lässt sich eine weitere Checkbox für das Abonnement hinzufügen. Ebenso muss man im Anschluss auf einen Link in einer Mail klicken, um vollständig zuzustimmen.

Anonymisierung der IP-Adresse

Die IP-Adresse gilt als personenbezogenes Datum. Anhand dieser lässt sich in der Theorie also eine einzelne Person zu identifizieren. Diese Daten gehen mich aber nichts an und deswegen sorge ich so gut es geht dafür, diese zu anonymisieren. Wie oben beschrieben findet dies bei der Analyse mit Piwik bereits statt. Aber auch an anderen Stellen sollte man daran denken.

Apache Log-Files

Als Webserver setze ich Apache ein. Grundsätzlich schreibt dieser die komplette IP-Adresse im sogenannten Access- und Error-Log. Mit anonip lassen diese sich aber verbergen. Standardmäßig sieht ein Eintrag in der Apache Konfiguration wie folgt aus:

CustomLog ${APACHE_LOG_DIR}/access.log combined

Mit anonip im Einsatz ändert man diesen Eintrag wie folgt ab:

CustomLog "|/pfad/zum/anon-skript.py --ipv4mask 8 --ipv6mask 64 --output /var/log/apache2/access.log" combined

Mit den Parametern wird angegeben, wie die IP maskiert werden soll. In diesen Fall wird der letzte Block einer IPv4-Adresse immer durch eine 0 ersetzt.

WordPress Datenbank für die Kommentare

Wenn ein Kommentar unter einem Blogbeitrag abgegeben wird, muss dieser logischerweise gespeichert werden. Neben den eingegebenen Daten speichert WordPress im Hintergrund aber auch noch andere Dinge. Darunter fällt auch die IP-Adresse. Um diese zu anonymisieren, kann man folgenden Code in die functions.php-Datei des Themes einfügen. Es sollte bedacht werden, das nach einem Theme-Update die Änderungen erneut vorgenommen werden müssen.

function wpb_remove_commentsip($comment_author_ip)
{
  return ''
}
add_filter('pre_comment_user_ip', 'wpb_remove_commentsip');

Um auch die schon bestehenden IPs zu löschen, kann man folgenden SQL-Befehl ausführen:

UPDATE wp_comments SET comment_author_IP = '';

Cookie Benachrichtigung

Wie man es von fast jeder Seite kennt, ist es wichtig, das Einverständnis einzuholen, dass man Cookies verwendet. Einen solchen Hinweis kann man per Plugin einfügen. Ich nutze dafür Cookie Notice. Damit lässt sich der angezeigte Text anpassen und ein Link auf die Datenschutzerklärung hinzufügen.

Ich hoffe, dass ich damit alle relevanten Punkte abgedeckt habe. Wenn ihr noch Tipps habt, gerne in die Kommentare damit! 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert