DSGVO ab 25. Mai 2018

[Timberwere]

Oh, das ist prima, vielen Dank! Das mache ich gleich mal!

Später: Hmmm... da passiert nichts? Also ich lasse das Script laufen, aber es kommt kein Ergebnis? Oder wird das an Dich geschickt und Du schaust dann? Das wäre sehr nett, wenn Du mal gucken könntest. timberwere.wordpress.com und timberstravels.wordpress.com.

Gravatar und Kommentare habe ich angeschaltet, soviel weiß ich schon.

[Tarcs]

Ich habe es gerade probiert und das Skript läuft fein mit Deiner Webseite. 24 Findings ...

Hast Du das Kästchen über dem Button angehakt?

[Timberwere]

Ja, das Kästchen hatte ich angehakt. Mehrmals. Hm, vielleicht lag es an Safari. Mal mit einem anderen Browser probieren.

Edit: nein, auch unter Chrome bleibt die Seite weiß... und das Kästchen ist weiterhin angehakt, ja.

[Tarcs]

Siehe PN mit ausführlicher Analyse ;-)

[Teylen]

Ich wollte mich erkundigen, ob und wie die hiesigen Blogger (und Forumbetreiber sich auf die Datenschutzgrundverordnung (DSGVO) vorbereiten.

Hm, der angegebene Link funktioniert bei mir nicht.
Allgemein habe ich bezüglich meiner beiden Blogs keine Bedenken.

Das heißt einerseits sind beide Projekte vollständig nicht kommerziell.
Das bedeutet ich habe keine eigenen Werbe-Banner, kein eigenes Crowdfunding, kein Spenden-Button, keine Affiliate-Links und erziele keine andersweitige Einnahmen.
In Bezug auf WODnews.blog geschah dies durchaus sehr bewusst, weil ich die Seite unter die "Dark Pack"-Lizenz White Wolfs stellte. Welche jede Form der monetarisierung verbietet.
In Bezug auf Teylen.blog ergab es sich mehr aus einerseits der Faulheit heraus etwas aufzubauen, andererseits vor dem Hintergrund das ich Wordpress aktualisiert habe.

Für WODnews.blog habe ich mich ferner auf e-recht24.de durch Kästchen geklickt um mir ein Impressum, eine Seite zur Haftung und eine Seite zum Datenschutz zu erstellen.

Hinsichtlich etwaiger Abmahnungen sehe ich mich dahingehend recht sicher, als das meine nicht-kommerziellen Projekte in ihrer Art und Weise in keinem Wettbewerb stehen.
Das heißt man kann sie nicht im Rahmen eines Wettbewerb-Verstoß oder dergleichen anzeigen. Der einzige der tätig werden könnte, wäre wohl der Landes-Datenschutzbeauftragte.

Insofern werde ich weder meine Kommentar-Funktion schließen, noch die Wordpress-Elemente einschränken.
Wobei letzteres ein weiterer Punkt ist, selbst wenn ich es wollte, und ich will es nicht, kann ich verschiedene Wordpress-Funktionen auf meinem von Wordpress gehosteten Blogs nicht abschalten.

Selbst wenn meine Projekte in einem kommerziellen Wettbewerb stünden, sehe ich derzeit nicht wie kommerzielle Blogs bei ihrer aktuellen Präsentation gegen meines vorgehen wollen. Schließlich haben diese auch bspw. Kommentarbereiche.

(Nach meinem Kenntnisstand machen Reviews, auf einem Blog oder anderen Webspace, diese nicht kommerziell.
Zumindest wenn sie ohne Sponsoren-Verträge, Affiliate-Links oder andere Kommerziellen-Elemente präsentiert werden)

Habt ihr euch schon mit dem Thema befasst? Welche Schritte macht ihr?

Abwarten, Tee trinken, weiterbloggen.

Nun und einmal ganz schnodderig gesagt,... Ich habe weiterhin auch auf meinem Smartphone WhatsApp. Da sind etwaige Datenschutz-Ferkeleien meines Blogs mein allerkleinstes Problem ^^;

[guest568]

Nun und einmal ganz schnodderig gesagt,... Ich habe weiterhin auch auf meinem Smartphone WhatsApp. Da sind etwaige Datenschutz-Ferkeleien meines Blogs mein allerkleinstes Problem ^^;

Richtig, ich glaube, dabei gehts auch in erster Linie bei der Verordnung: Firmen, die Daten verarbeiten ein wenig auf die Finger zu klopfen. Klar kann man das auch auf Blogs anwenden und sicher sollte jeder das tun, was er für richtig hält. Ich für meinen Teil werde nichts ändern. Und wenn mich jemand abmahnt warum auch immer oder ich ein Bußgeld bekommen sollte, gäbe es zumindest mal ein Urteil und Rechtssicherheit, bislang gibts nämlich viele Gerüchte im Bereich private Blogs aber nichts Konkretes...

Edit: Das ist nur meine Meinung und ich rate oder empfehle niemanden, es mir gleich zu tun!

[Niniane]

Habe gerade mal über Deine Seite geschaut, ist jetzt keine Garantie, aber das sieht gut aus. Nur drei Auffälligkeiten:

- Kein Hinweis auf Cookies => Cookie Consent Plugin einbauen
- Emojis sind aktiv mit Aufruf von externen Skripten => In den WordPress Einstellungen schlicht und ergreifend abschalten.
- Kommentierungsfunktion mit E-Mail Adresse enthalten => Kommentare abschalten, oder mit https://wordpress.org/plugins/wp-gdpr-core/ einen Hinweistext mit aktiver Zustimmung anzeigen lassen.

Mögliche weitere Punkte:

- IP-Adressen in den Serverlogs

Vielleicht hilft das.

1. Was ist ein Cookie Consent Plugin? Hast Du da Empfehlungen?
2. Was meinst du mit "IP-Adressen in den Serverlogs"? Kann ich da was machen?

Edit: Und ich habe unter Chrome auch Probleme mit deinem Skript...

[Teylen]

1. Was ist ein Cookie Consent Plugin? Hast Du da Empfehlungen?

Das Seiten-Popover, welches dich dazu auffordert die Verwendung von Cookies zu akzeptieren.
Bei Wordpress ist es ein Widget: Themes -> Customize -> Widgets -> Bereich [z.b. Footers 2] -> Widgets auswählen Menü -> ""EU Cookie Gesetz Banner" raussuchen.

[Tarcs]

Bei Wordpress ist es ein Widget: Themes -> Customize -> Widgets -> Bereich [z.b. Footers 2] -> Widgets auswählen Menü -> ""EU Cookie Gesetz Banner" raussuchen.

Na, so einfach ist das nicht. Erst muss dafür ein geeignetes Plugin eingebunden werden, denn standardmäßig kann WordPress das noch nicht, oder habe ich da etwas verpasst?

Ich nutze Cookie Law Info und bin recht zufrieden damit.

Die Sache mit den IP Adressen ist auf dem Webserver zu suchen. Anständige Hoster sollten das aber mittlerweile standardmäßig deaktiviert haben.

[Teylen]

Na, so einfach ist das nicht. Erst muss dafür ein geeignetes Plugin eingebunden werden, denn standardmäßig kann WordPress das noch nicht, oder habe ich da etwas verpasst?

Das Plugin ist in der Standard-Auswahl Wordpress bezüglich Widgets enthalten.
Ich nutze es für WODnews.blog. Die Seite ist vollständig auf bzw. von Wordpress gehostet.

[Tarcs]

Das Plugin ist in der Standard-Auswahl Wordpress bezüglich Widgets enthalten.
Ich nutze es für WODnews.blog. Die Seite ist vollständig auf bzw. von Wordpress gehostet.

Das scheint dann aber der Punkt zu sein, also, dass Du die Seite direkt bei WordPress liegen hast. Bei eigenen Domains/Servern ist das wohl nicht der Fall. Aber gut, wenn WordPress da schon selber aktiv ist.

[Niniane]

Danke @Tarcs, da muss ich mal schauen. Wobei ich davon ausgehe, dass Strato seriös ist

Edit: https://www.strato.de/faq/article/2763/Fragen-zur-Auftragsdatenverarbeitung-ADV-und-der-neuen-EU-Datenschutzgrundverordnung-DSGVO.html
Punkt 1 macht mich etwas stutzig... muss ich mir jetzt doch noch einen neuen Hoster suchen? Mich macht dieses DSGVO-Zeugs langsam etwas kirre, weil das auf mich völlig unüberlegt wirkt. Aber gut, es gibt im Bereich Hosting/Webseiten eine Menge Kram, bei dem ich mir nur an den Kopf greife.

[Infernal Teddy]

Das war ein lustiger Nachmittag... wenn ich Hosterseitig https aktivere bekomme ich zwar ein "A" für das zertifikat, aber dafür ein too many redirects-fehler den ich auch nicht abstellen kann...

[Tarcs]

Edit: https://www.strato.de/faq/article/2763/Fragen-zur-Auftragsdatenverarbeitung-ADV-und-der-neuen-EU-Datenschutzgrundverordnung-DSGVO.html
Punkt 1 macht mich etwas stutzig... muss ich mir jetzt doch noch einen neuen Hoster suchen?

Tja ... Hier beißen sich halt Technik und Realität. Die IP Adressen (scherzhaft auch Telefonnummer im Internet genannt) wurden von einem spaßigen Datenschützer als personenbezogen deklariert, und nun haben wir den Salat. In den meisten Fällen sind die Nummern tatsächlich personenbezogen ... über einen Zeitraum von 24 Stunden.

Und zugleich alles, aber auch wirklich alles im Netz, braucht die IP Adresse - und für manche Sachen muss man die halt auch blöderweise "speichern". Aber zum Glück gibt die DSGVO da ja ein Schlupfloch, und das ist dasjenige, das Strato hier auch bedient: das berechtigte Interesse (oder so). Sie geben an, warum sie die IP Adresse speichern (müssen) und wie lange sie das dann tun. Und damit ist der Form genüge getan.

Also kein Grund sich einen Kopf zu machen. In dem Fall dürfte das fein sein. Wenn das richterlich moniert wird, dann scheidet die EU aus dem Internet aus. ;-)

[Tarcs]

Das war ein lustiger Nachmittag... wenn ich Hosterseitig https aktivere bekomme ich zwar ein "A" für das zertifikat, aber dafür ein too many redirects-fehler den ich auch nicht abstellen kann...

Wie hast Du denn das https aktiviert? Das mit den Redirects klingt nach einer Endlosschleife bei den Umleitungen. Die einfachste und erfolgversprechendste Methode ist eine Anpassung im der .htaccess

Code: [Auswählen]

<IfModule mod_rewrite.c>
  # HTTPS aktivieren
  RewriteCond %{HTTPS} !^on$ [NC]
  RewriteRule . https://%{HTTP_HOST}%{REQUEST_URI} [L]
</IfModule>
gegebenenfalls muss innerhalb der <IfModule> Tags zuvor auch noch ein

Code: [Auswählen]

RewriteEngine On
RewriteBase /
eingefügt werden. Das reicht in den meisten Fällen.

Wer dann noch ein bisschen mehr Sicherheit spendieren möchte, kann die folgenden Einträge hinzufügen (am Besten einen Block nach dem anderen in diesem IfModule eintragen und ausprobieren):

Code: [Auswählen]

<ifModule mod_headers.c>
  # HSTS verwenden
  Header set Strict-Transport-Security "max-age=31556926" IncludeSubDomains
  # oder, weniger strikt:
  #Header set Strict-Transport-Security "max-age=31556926"

  # Referrer Policy
  Header set Referrer-Policy "no-referrer"

  # Verhindert mime based attacks, nur IE und Chrome
  Header set X-Content-Type-Options "nosniff"

  # Aktiviert XSS Praeventions-/Filter-Tools
  Header set X-XSS-Protection "1; mode=block"
  # oder, weniger strikt:
  #Header set X-XSS-Protection "1"

  # Keine fremden frame/iframe Darstellungen
  Header always append X-Frame-Options "SAMEORIGIN"
  # oder, wenn doch, dann dediziert festlegen
  #Header append X-Frame-Options "ALLOW-FROM https://die.brave.domain"

  # Cookies nur ueber SSL and kein Javascript Zugriff
  # Optional verschärfen mit den Parametern: Expires, Max-Age, Path, Domain
  Header always edit Set-Cookie (.*) "$1; HttpOnly; Secure"
  # oder, weniger strikt:
  #Header always edit Set-Cookie (.*) "$1; HttpOnly"

  # Keine PHP und System-Version ausgeben
  Header unset X-Powered-By
  Header unset Server
  Header always unset X-Powered-By
  Header unset X-CF-Powered-By
  Header unset X-Mod-Pagespeed
  Header unset X-Pingback
  Header set Connection keep-alive

  # Schlüssel ID hinterlegen, da geht es allerdings ans Eingemachte und da muss das ein oder andere vom SSL Zertifikat abhängig gemacht werden...
  #Header set Public-Key-Pins "pin-sha256=R2ChpM00zU...sonE/52miOMh/6bLE=; pin-sha256=olfpm22w34...1NEuKv4SUj9tCPyyU=; max-age=5184000; report-uri=https://deine.domain/impressum"

  # Vorbereitung für Expect-CT
  Header set Expect-CT "max-age=0; report-uri=https://deine.domain/impressum"
</IfModule>

Sollte es dann zu einem Error 500 kommen, dann keine Panik bekommen und die letzen Änderungen aus der .htaccess wieder rückgängig machen.

Vielleicht hilft das dem Ein- oder Anderen.