Autor Thema: DSGVO ab 25. Mai 2018  (Gelesen 3121 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline Mentor

  • GRT-Macher
  • Blogger
  • ****
  • Beiträge: 197
  • Trittbrettspieler
    • Profil anzeigen
    • LUDUS LEONIS
DSGVO ab 25. Mai 2018
« am: 21. März 2018, 08:01:16 »
Ich wollte mich erkundigen, ob und wie die hiesigen Blogger (und Forumbetreiber ;) sich auf die Datenschutzgrundverordnung (DSGVO) vorbereiten. Da ist es mit einem Impressum-Update nicht getan, technische Änderungen kommen auf viele Webseiten und Blogs zu. Die Frage, ob persönliche Daten nur auf EU-Servern (bzw. ebenso der DSGVO genügenden) liegen oder verarbeitet werden, wird schlagend. Das eine oder andere WordPress-Plugin könnte da durch den Rost fallen, z.B. Statistik-Tools, Gravatar oder Askimet, vielleicht sogar WordPress selbst. Ein Datenverarbeitungsvertrag mit dem eigenen Provider wird mancherorts angeraten. Hohe Strafen drohen - ob das ein reales Risiko für kleine Blogger ist, muss ich aber noch zeigen.

https://datenschmutz.net/dsgvo-checkliste-fuer-blogs/

Habt ihr euch schon mit dem Thema befasst? Welche Schritte macht ihr?

Offline Blechpirat

  • Administrator
  • *****
  • Beiträge: 1.959
    • Profil anzeigen
    • Richtig Spielleiten
Antw:DSGVO ab 25. Mai 2018
« Antwort #1 am: 21. März 2018, 10:14:52 »
Habt ihr euch schon mit dem Thema befasst? Welche Schritte macht ihr?

Sehr spannend, muss ich sagen. Bestimmte Dinge, die der von dir verlinkte Artikel erwähnt, waren m.E. schon immer illegal: Askimet insbesondere, aber auch Google Analytics, jedenfalls in der Phase vor dem Abkommen mit den USA. Die gibt es deshalb auf dieser Infrastruktur nicht. Spamjagd macht Anti-Spambee, nicht ganz so erfolgreich, aber dafür lokal. Analytics gibt es nicht, dafür ein Piwik (oder wie das heute heißt), dass die IP-Adressen nur kastriert bekommt und keine Daten nach außen weitergibt. SSL ist auch am Start. Für die Blogs, die auf rsp-blogs.de gehostet sind, ist das also soweit ganz okay. Soweit ich das sehe, achten alle hier peinlichst darauf, keine Werbebanner zu zeigen oder Affiliate-Links zu verwenden. Das senkt das faktische Risiko der Verfolgung ganz erheblich.

Baustellen sind die Nutzung von Facebook, G+ und anderen Social Media... Verlinkungen. Like-Buttons habe ich glaube ich nicht. Andererseits fischt mein Browser so viel Müll weg, dass ich mir die Seiten noch mal nackt angucken muss.
„I saw the best minds of my generation destroyed by / payment plans.“ -- Kate Tempest


Rsp-Blogs - Cyberpunk2020.de - Fate Deutschland - Richtig Spielleiten!

Offline Blechpirat

  • Administrator
  • *****
  • Beiträge: 1.959
    • Profil anzeigen
    • Richtig Spielleiten
Antw:DSGVO ab 25. Mai 2018
« Antwort #2 am: 21. März 2018, 16:24:58 »
Noch mal ein zweiter Gedanke...

man muss zwei unterschiedliche Risiken bewerten.

a) Abmahnung. Eine Abmahnung kann - entgegen populärem Glauben - nicht jeder einfach machen. Eine Ermahnung erlaubt einem Mitbewerber, den Abgemahnten zu rechtskonformen Verhalten zu zwingen: Weil es unfair ist, wenn ich die Kosten für die korrekte Variante habe, du aber nichts. Schon im Wettbewerber zeigt sich: Ohne Umsatz kein Wettbewerb.

b) Bußgeld. Ein Bußgeld kann der Landesdatenschützer aussprechen. Ob der aber seinen Fokus auf ein Winzblog legt, dass sich mit obskuren Themen befasst und keine Einnahmen generiert? Ich halte das Risiko für niedrig.

Deshalb ist hier bei mir noch kein Herzrasen eingetreten. Allerdings kann ich natürlich nicht einschätzen, wie sich die Situation bei dir in Österreich darstellt.
„I saw the best minds of my generation destroyed by / payment plans.“ -- Kate Tempest


Rsp-Blogs - Cyberpunk2020.de - Fate Deutschland - Richtig Spielleiten!

Offline Niniane

  • Blogger
  • ****
  • Beiträge: 175
  • Atmotante
    • Profil anzeigen
    • storiesandcharacters
Antw:DSGVO ab 25. Mai 2018
« Antwort #3 am: 21. März 2018, 21:26:47 »
Mal ganz doof: Wenn ich die Kommentarfunktion abschalte, bin ich auf der sicheren Seite, wenn ich sonst auch keine Sachen mache, die einen Datenschutz erfordern wie Newsletter oder Webshop? Ich frage mich immer, wer sich solche Gesetze ausdenkt... ::)
"If a story is in you, it has to come out."
― William Faulkner

Offline Tarcs

  • Jr. Member
  • **
  • Beiträge: 92
  • Bill Towner
    • Profil anzeigen
    • Jaegers.Net
Antw:DSGVO ab 25. Mai 2018
« Antwort #4 am: 21. März 2018, 22:47:38 »
Leider nicht immer ganz. Es gibt eine ganze Reihe an beliebten PlugIns unter WordPress, die beispielsweise Daten auf nicht näher deklarierten, ausländischen Servern verschicken. Hierzu zählt vor allem ein großer Teil des Pakets Jetpack. Der oben verlinkte Beitrag umfasst da schon einiges, was auch im Core von WordPress nicht ganz den Datenschutzvorgaben entspricht (vgl. Emojis, etc.). Und ob man als privater/nichtkommerzieller Blog den Vorgaben der DSGVO nicht zu entsprechen braucht, werden uns die Juristen sicherlich auch bald wissen lassen.

Aus meiner Sicht macht es durchaus Sinn sich damit einmal auseinanderzusetzen und möglichst viele Punkte daraus umzusetzen. Sicher ist sicher ...

Kommentarfunktion deaktivieren, JetPack, Akismet und Co. deaktivieren, Google Fonts im Template überprüfen und lokalisieren, Firewalleinstellungen (IP-Adressen!), so vorhanden, checken, Tracking (Google Analytics) abschalten, bzw. anonymisiert auf Matomo umstellen, wenn unbedingt erforderlich, Webserverlogs abschalten, bzw. anonymisieren (das sollte schon seit Jahren der Fall sein), Share Buttons auf das 2-Klick-Verfahren umändern, Cookie Consent einbauen, etc.

Und was die Frage betrifft, wer sich solche Gesetze ausdenkt ... <Sarkasmus>immer die, die damit das meiste Geld damit verdienen!</Sarkasmus>

BTW: Datenschutz und Datensparsamkeit hat seinen Sinn, ohne Frage. Aber man muss sich auch hier wieder fragen, ob wir unserer eigenen Technologiebranche nicht wieder ins Knie schießen und den Unternehmen in Übersee damit nicht schon wieder einen hausgemachten, zollfreien Wettbewerbsvorteil verschaffen ...

Offline Tarcs

  • Jr. Member
  • **
  • Beiträge: 92
  • Bill Towner
    • Profil anzeigen
    • Jaegers.Net
Antw:DSGVO ab 25. Mai 2018
« Antwort #5 am: 21. März 2018, 22:58:35 »
Mal ganz doof: Wenn ich die Kommentarfunktion abschalte, bin ich auf der sicheren Seite, wenn ich sonst auch keine Sachen mache, die einen Datenschutz erfordern wie Newsletter oder Webshop? Ich frage mich immer, wer sich solche Gesetze ausdenkt... ::)

Habe gerade mal über Deine Seite geschaut, ist jetzt keine Garantie, aber das sieht gut aus. Nur drei Auffälligkeiten:

- Kein Hinweis auf Cookies => Cookie Consent Plugin einbauen
- Emojis sind aktiv mit Aufruf von externen Skripten => In den WordPress Einstellungen schlicht und ergreifend abschalten.
- Kommentierungsfunktion mit E-Mail Adresse enthalten => Kommentare abschalten, oder mit https://wordpress.org/plugins/wp-gdpr-core/ einen Hinweistext mit aktiver Zustimmung anzeigen lassen.

Mögliche weitere Punkte:

- IP-Adressen in den Serverlogs

Vielleicht hilft das.

Offline Infernal Teddy

  • Blogger
  • ****
  • Beiträge: 319
  • I'm from the FUTURE!
    • Profil anzeigen
    • Neue Abenteuer
Antw:DSGVO ab 25. Mai 2018
« Antwort #6 am: 22. März 2018, 08:25:53 »
Magst du mal bei uns drüberschauen?

Offline Mentor

  • GRT-Macher
  • Blogger
  • ****
  • Beiträge: 197
  • Trittbrettspieler
    • Profil anzeigen
    • LUDUS LEONIS
Antw:DSGVO ab 25. Mai 2018
« Antwort #7 am: 22. März 2018, 08:54:30 »
Noch mal ein zweiter Gedanke...
man muss zwei unterschiedliche Risiken bewerten.
...
Das Risiko ist für mich irgendwie schwer absehbar. Dass ein 'Konkurrent' abmahnt oder eine offizielle Stelle proaktiv Strafen gegen Kleine vergibt, halte ich für auch eher unwahrscheinlich. Auch wird der kleine Blogger nicht bis zur millionenschweren Strafgrenze belangt werden. Ob ein kreativer Abmahner droht, auf Schadensersatz zu klagen, weil er einen Test-Kommentar in einem Blog gemacht hat und sich dann über die von ihm nicht ordentlich verarbeiteten Daten beschwert, wäre schon eher ein Geschäftsmodell. Oder sich durch eine Seite überwacht fühl, weil diese Fonts von Google einbindet, ohne dass der Nutzer die Zustimmung gegeben hat ;)

Offline Blechpirat

  • Administrator
  • *****
  • Beiträge: 1.959
    • Profil anzeigen
    • Richtig Spielleiten
Antw:DSGVO ab 25. Mai 2018
« Antwort #8 am: 22. März 2018, 09:22:38 »
Das Risiko ist für mich irgendwie schwer absehbar. Dass ein 'Konkurrent' abmahnt oder eine offizielle Stelle proaktiv Strafen gegen Kleine vergibt, halte ich für auch eher unwahrscheinlich. Auch wird der kleine Blogger nicht bis zur millionenschweren Strafgrenze belangt werden. Ob ein kreativer Abmahner droht, auf Schadensersatz zu klagen, weil er einen Test-Kommentar in einem Blog gemacht hat und sich dann über die von ihm nicht ordentlich verarbeiteten Daten beschwert, wäre schon eher ein Geschäftsmodell. Oder sich durch eine Seite überwacht fühl, weil diese Fonts von Google einbindet, ohne dass der Nutzer die Zustimmung gegeben hat ;)

Nach deutschen Recht kann er nicht abmahnen, sondern nur den Datenschutzbeauftragten informieren. Was bei im Ausland gehosteten Blogs (also z.B. wordpress.com) ohne Impressum vermutlich nutzlos ist. Bei in Deutschland gehosteten Blogs mit Impressum oder who-is-Eintrag hingegen ein Risiko, aber ein eher geringes. Denn ein Mensch, der das Thema Google-Fonts kennt, der macht das ja offensichtlich absichtlich.

@Niniane: Zur Diskussion in dieses Forum zu verweisen ist natürlich völlig okay, Vermi macht das ja z.B. auch so. Dann kann man die Kommentare abschalten und hat das Thema nicht mehr. Ohne Kommentare ist Askimet auch unwichtig.
„I saw the best minds of my generation destroyed by / payment plans.“ -- Kate Tempest


Rsp-Blogs - Cyberpunk2020.de - Fate Deutschland - Richtig Spielleiten!

Offline Niniane

  • Blogger
  • ****
  • Beiträge: 175
  • Atmotante
    • Profil anzeigen
    • storiesandcharacters
Antw:DSGVO ab 25. Mai 2018
« Antwort #9 am: 22. März 2018, 10:31:59 »
@Tarcs: Danke!

Ich muss mir auch unbedingt die Anduin-Seite angucken, wobei die ja keine Kommentarfunktion hat.
"If a story is in you, it has to come out."
― William Faulkner

Offline Tarcs

  • Jr. Member
  • **
  • Beiträge: 92
  • Bill Towner
    • Profil anzeigen
    • Jaegers.Net
Antw:DSGVO ab 25. Mai 2018
« Antwort #10 am: 22. März 2018, 22:01:49 »
Magst du mal bei uns drüberschauen?

LOL, könnte ein Geschäftsmodell werden ;-)

Mal sehen, was sich auf neueabenteuer.com so findet:

- Du machst Rezensionen, das könnte schon als kommerziell gewertet werden.
o Du hast ein Impressum, gut, das kann ich juristisch aber nicht bewerten (bin kein Jurist)
o Die Datenschutzerklärung ist vorhanden, könnte aber nach DSGVO unzureichend sein.
- Du hast ein Kontaktformular und Kommentarfunktionen, beides ohne explizite Zustimmung zur Übermittlung und Speicherung der Daten, vor allem, da Du die E-Mail Adresse explizit als verpflichtend gekennzeichnet hast.
o Du hast zwar ein SSL Zertifikat, aber Deine Seite ist dafür nicht korrekt konfiguriert, sie nutzt das Zertifikat nicht per default und zeigt kein schönes Bild, da beim Aufruf nicht alle Sourcen über SSL geladen werden.
- Cookie Consent fehlt

Soweit das Oberflächliche, jetzt mal in die Details:

- WordPress Emojis sind aktiviert -> Datenübermittlung an WordPress
- es wird mindestens eine Schriftart von Google gezogen -> Datenübermittlung an Google
- Du hast JetPack aktiv -> Datenübermittlung an Automatic
- Du hast Gravatare aktiv -> Datenübermitlung an Gravatar
- Du hast die Statistikfunktion via JetPack aktiviert, ganz böse (!) -> volle Datenübermittlung an WordPress.com
o Du verwendest die Linkverkürzung von WordPress -> Datenübermittlung an WordPress, wenn die Links genutzt werden

Das sieht also in Summe eher nicht so gut aus, also das volle Programm an Verstößen ...

Legende:
- = böse
o = überprüfungswürdig, ggf. kritisch
+ = fein

Ich hoffe, das hilft bei der Bewertung.
« Letzte Änderung: 23. März 2018, 01:13:17 von Tarcs »

Offline Papierheldin

  • Newbie
  • *
  • Beiträge: 16
    • Profil anzeigen
Antw:DSGVO ab 25. Mai 2018
« Antwort #11 am: 23. März 2018, 10:30:49 »
Ich war erstmal etwas erschlagen, aber am Ende ist das Ungetüm DGSVO doch nicht so unbesiegbar ^^

Mir erschließt sich jedoch noch nicht, ob ein Abkommen zur Auftragsdatenverarbeitung mit dem Hoster geschlossen werden muss?

Offline Tarcs

  • Jr. Member
  • **
  • Beiträge: 92
  • Bill Towner
    • Profil anzeigen
    • Jaegers.Net
Antw:DSGVO ab 25. Mai 2018
« Antwort #12 am: 23. März 2018, 10:41:14 »
Meiner laienhaften Einschätzung nach (nicht-Jurist): ja. Alle personenbezogenen Daten, die Du erfasst, liegen ja schließlich auf den Servern des Hosters und der hat in der Regel vollen Zugriff darauf, bzw. ist auch der Verantwortliche dafür, dass die Server sicher sind. Ich bin mal gespannt, wie das aussieht, wenn man bei WordPress.com und Co. seine Seiten liegen hat ...

Ich habe bei meinem Hoster einmal nachgesehen und er bietet eine solche ADV an. Von daher ist die Sache für mich klar.

Offline Papierheldin

  • Newbie
  • *
  • Beiträge: 16
    • Profil anzeigen
Antw:DSGVO ab 25. Mai 2018
« Antwort #13 am: 23. März 2018, 11:29:20 »
Meiner laienhaften Einschätzung nach (nicht-Jurist): ja. Alle personenbezogenen Daten, die Du erfasst, liegen ja schließlich auf den Servern des Hosters und der hat in der Regel vollen Zugriff darauf, bzw. ist auch der Verantwortliche dafür, dass die Server sicher sind.

So gesehen, macht das Sinn.
Danke, werde mich am Wochenende mal dran begeben und ein paar Sachen umstellen.

Und ja, bei wordpress.com o.ä. wird das sicherlich noch interessant.

Offline Tarcs

  • Jr. Member
  • **
  • Beiträge: 92
  • Bill Towner
    • Profil anzeigen
    • Jaegers.Net
Antw:DSGVO ab 25. Mai 2018
« Antwort #14 am: 23. März 2018, 11:47:59 »
So, ich habe da mal letzte Nach ein kleines Skript geschrieben. Die Browser Tools können zwar noch viel mehr, aber sind vielleicht nicht ganz so verständlich im ersten Schritt. Wer wissen will, welche Drittserver beim Aufruf seiner Seite eingebunden sind (und damit ungefragt Userdaten erhalten), kann das mit dem DSGVO GDPR Schnelltest/ prüfen.

Vielleicht implementiere ich das noch etwas weiter, mal sehen.