Amateur am Werk
Ich habe von Jura soviel Ahnung wie eine Kuh vom Stricken (ok, ein bisschen mehr, da ich schon sehr viele internationale Vertragswerke lesen und beurteilen musste). Meine Analyse ersetzt also nicht die Rechtsberatung, zum Beispiel bei Martin Steiger.
Zunächst mal eine Entwarnung: Es ist wohl alles nicht so schlimm, wie viele vermuten. Bei einigen ist es der Wunsch, einem (ahnungslosen) Kunden eine Beratung zu verkaufen, bei anderen einfach die Angst vor juristischen Dokumenten und Halbwissen aus dem Internet. Bei mir war es das Zweitere, als ich mit dem Artikel angefangen habe. Inzwischen bin ich recht entspannt und auf allfällige Abmahnungen sehr gespannt.Generell ist der Gedanke hinter der DSGVO (DatenSchutz-GrundVerOrdnung) ja ein guter. Man will den Bürger (also mich) davor schützen, dass alle möglichen Leute absichtlich oder versehentlich meine Daten irgendwie speichern, verarbeiten und weitergeben. Wobei ich den Grundverdacht habe, dass damit speziell Google und Facebook in Ihre Grenzen gewiesen werden sollen. Der Grundgedanke ist also ein guter und die Absicht ist gut. Das gilt aber auch, wenn man einen Pinguin vom Hochhaus wirft, weil man hofft, dass er in dieser Situation sicher fliegen lernt.Was ich weniger gut finde, ist, dass es Juristenprosa ist, die ein nicht-Jurist eher schwer versteht, deren Text vier Wochen vor dem Inkrafttreten nochmal geändert wird und die in jedem (EU)-Land unterschiedlich umgesetzt wird. Neben dem sicheren Gefühl, dass die Beschliessenden mehr Ahnung von Rechtstexten als vom Internet haben, komme ich mir ein wenig verarscht vor, wenn man eine Verordnung erlässt, die international gültig ist (in der Schweiz muss ich die Scheisse auch mit machen), aber in jedem Land (in dem ein Onlinenutzer online nutzt) anders gehandhabt wird. Damit müssen sich alle Anbieter von Onlinezeugs beschäftigen … auch in nicht-EU-Ländern.Zum Beispiel melden sich derzeit viele europäische Anwaltskanzleien (man könnte sagen: Der Bodensatz der Juristerei) in der Schweiz für Newsletter an, in der Hoffnung, dann ab dem 25.05. Abmahnungen verschicken zu können. Hat man bereits ein Double-Opt-In (der Benutzer wird also explizit gefragt, ob er sich extremst sicher ist, dass er diesen Newsletter unbedingt haben will), wird der Newsletter dann nicht bestellt, da es ja keine Chance auf eine Abmahnung gibt.Aber genug des Rants. Weil es heute ein Feiertag ist und ich grade Zeit habe, beschäftige ich mich eben jetzt mit dem DSGVO Clusterfuck und diversen Artikeln und Informationen dazu.
Meine Informationsquellen zur DSGVO
Ich starte mal in der Schweiz: Der EDÖB (geil, oder? Das heisst Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) hat eine Informationsseite zu dem Thema, mit einem sehr schönen PDF, das den Sachverhalt recht gut darstellt (und nur elf Seiten hat).Martin Steiger von Steiger Legal hat viele Publikationen (nicht nur) zum Thema DSGVO, unter anderem «Warum sich Schweizerinnen und Schweizer um die DSGVO kümmern sollten». Was Onlinerecht angeht ist Martin Steiger generell ein Held. Er kann allgemeinverständlich informieren, hat gute Ideen und ist für die Gemeinschaft da.Und zuletzt noch eine Quelle aus Bayern. Es ist bezeichnend, das ausgerechnet Bayern (Bayern!) eine umfangreiche Handreichung für ihre kleinen Unternehmen und Vereine online gestellt hat. Hier kann man sich sehr spezifisch informieren, zum Beispiel als Kfz-Werkstatt oder Beherbergungsbetrieb. Coole Sache.Und warum bin ich betroffen?
Naja, vermutlich bin ich es nicht. Eine Ausnahme dieser DSGVO sind Datenverarbeitungen «durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten». Ich vermute, dass meine private Homepage (und der private Blog) in den Bereich «persönlicher Tätigkeiten» fällt. Ausserdem bin ich zwar nicht immer natürlich, hoffe aber doch, als «natürliche Person» im juristischen Sinne anerkannt zu werden.Was passiert jetzt aber, wenn ich kommerzielle Angebote verlinke, mit denen ich zwar kein Geld verdiene, die aber im Regelfall selbst Geld verdienen? Eine Buchempfehlung mit dem Link auf Amazon? Eine Hotelempfehlung mit dem Link auf die Homepage des Hotels? Ja, alle diese Themen werden in den kommenden Jahren durch Gerichtsurteile geklärt (Aussage der verantwortlichen Politiker). Aber will ich dann in einem Gerichtsurteil gegen mich erfahren, dass ich es doch anders hätte machen sollen? Will ich mich wirklich mit Abmahnanwälten (wie gesagt: dem Bodensatz der Juristerei) beschäftigen?Aus diesen Gründen und weil ich ja immer wieder gerne was lerne, beschäftige ich mich also mit der Umsetzung.Was habe ich gemacht?
Ich habe viel gemacht (vielleicht zu viel, aber weniger als ich dachte), aber dabei auch viel gelernt. Die einzelnen Massnahmen seht Ihr hier.Der Auftragsdatenverarbeitungs(ADV)-Vertrag
Mit meinem Hoster (Cyon) habe ich per 25.05.2018 diesen Vertrag abgeschlossen, da er ja die Daten auf seiner Hardware speichert und auch «verarbeitet» … in einer sehr weiten Auslegung des Begriffs «verarbeiten»: Er erstellt zum Beispiel für mich (automatisiert) Datensicherungen, die dann auch bei mir liegen. Tatsächlich verarbeitet kein Mitarbeiter von Cyon meine benutzerbezogenen Daten (wie zum Beispiel Kommentare).Cookies
Wer braucht Cookies? Abgesehen von den Chokoly Cookies, die ich beim Schreiben verbraucht habe? (Fast) Jede WordPress-Installation und fast alle anderen Systeme verwenden Cookies, um dem Benutzer das Leben einfacher zu machen. Ich vermute mal, dass wenige damit Unfug treiben … ich wüsste so spontan nicht, wie ich damit Unfug treiben könnte. Aber dennoch solltet Ihr die Zustimmung Eurer Besucher abholen, bevor die Cookies verwendet werden. Das ist zum Beispiel mit dem Plugin Cookie Consent für WordPress möglich.Kommentarspam
Damit in den Kommentaren nicht ständig Werbung für russische Online-Sexportale (und ähnliche Angebote) erscheint, muss man die Kommentarflut eingrenzen. Wenn man nicht (potentiell tausende) Spamkommentare von Hand löschen will, hat WordPress da von Haus aus das perfekte Werkzeug: AkismetLeider verwendet Akismet Daten, die nach DSGVO nicht mehr übermittelt werden sollten. Es gibt aber eine (ebenfalls kostenlose) Alternative: Antispam BeeUm Antispam Bee DSGVO-konform zu machen, müssen aber noch ein paar Einstellungen deaktiviert werden (sind inzwischen standardmässig deaktiviert):- Öffentliche Spamdatenbank berücksichtigen
- Kommentare aus bestimmten Ländern blockieren
- Kommentare nur in einer bestimmten Sprache zulassen
Google Analytics / Besucherstatistiken
Ich habe mit Google Analytics abgeschlossen. Die Darstellung ist zwar ausgesprochen sexy, ich bezahle sie aber teuer, indem ich Google ihr «Produkt» liefere, also Informationen über Benutzer, die zu Werbezwecken genutzt (missbraucht?) werden können. Deswegen habe ich auf das freie Open-Source Tool Matomo (ehemals Piwik) umgestellt. Hier wird das Benutzerverhalten auch festgehalten, aber immerhin nicht mit Nutzern anderer Seiten kombiniert und zu Werbezwecken genutzt.Weil Cyon «geile Siäche» sind, wie man hier in der Region so sagt, waren das nur ein paar Klicks:- Subdomain anlegen
- SSL auf der Subdomain aktivieren
- Matomo über das App-Center von Cyon installieren
- Matomo aktivieren über ihr eigenes WordPress plugin (WP-Matomo) verbinden. Das wäre aber auch mit einem einfachen Tracking-Code möglich.