Amateur am Werk

Ich habe von Jura soviel Ahnung wie eine Kuh vom Stricken (ok, ein bisschen mehr, da ich schon sehr viele internationale Vertragswerke lesen und beurteilen musste). Meine Analyse ersetzt also nicht die Rechtsberatung, zum Beispiel bei Martin Steiger.

Zunächst mal eine Entwarnung: Es ist wohl alles nicht so schlimm, wie viele vermuten. Bei einigen ist es der Wunsch, einem (ahnungslosen) Kunden eine Beratung zu verkaufen, bei anderen einfach die Angst vor juristischen Dokumenten und Halbwissen aus dem Internet. Bei mir war es das Zweitere, als ich mit dem Artikel angefangen habe. Inzwischen bin ich recht entspannt und auf allfällige Abmahnungen sehr gespannt.Generell ist der Gedanke hinter der DSGVO (DatenSchutz-GrundVerOrdnung) ja ein guter. Man will den Bürger (also mich) davor schützen, dass alle möglichen Leute absichtlich oder versehentlich meine Daten irgendwie speichern, verarbeiten und weitergeben. Wobei ich den Grundverdacht habe, dass damit speziell Google und Facebook in Ihre Grenzen gewiesen werden sollen. Der Grundgedanke ist also ein guter und die Absicht ist gut. Das gilt aber auch, wenn man einen Pinguin vom Hochhaus wirft, weil man hofft, dass er in dieser Situation sicher fliegen lernt.Was ich weniger gut finde, ist, dass es Juristenprosa ist, die ein nicht-Jurist eher schwer versteht, deren Text vier Wochen vor dem Inkrafttreten nochmal geändert wird und die in jedem (EU)-Land unterschiedlich umgesetzt wird. Neben dem sicheren Gefühl, dass die Beschliessenden mehr Ahnung von Rechtstexten als vom Internet haben, komme ich mir ein wenig verarscht vor, wenn man eine Verordnung erlässt, die international gültig ist (in der Schweiz muss ich die Scheisse auch mit machen), aber in jedem Land (in dem ein Onlinenutzer online nutzt) anders gehandhabt wird. Damit müssen sich alle Anbieter von Onlinezeugs beschäftigen … auch in nicht-EU-Ländern.Zum Beispiel melden sich derzeit viele europäische Anwaltskanzleien (man könnte sagen: Der Bodensatz der Juristerei) in der Schweiz für Newsletter an, in der Hoffnung, dann ab dem 25.05. Abmahnungen verschicken zu können. Hat man bereits ein Double-Opt-In (der Benutzer wird also explizit gefragt, ob er sich extremst sicher ist, dass er diesen Newsletter unbedingt haben will), wird der Newsletter dann nicht bestellt, da es ja keine Chance auf eine Abmahnung gibt.Aber genug des Rants. Weil es heute ein Feiertag ist und ich grade Zeit habe, beschäftige ich mich eben jetzt mit dem DSGVO Clusterfuck und diversen Artikeln und Informationen dazu.

Meine Informationsquellen zur DSGVO

Ich starte mal in der Schweiz: Der EDÖB (geil, oder? Das heisst Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) hat eine Informationsseite zu dem Thema, mit einem sehr schönen PDF, das den Sachverhalt recht gut darstellt (und nur elf Seiten hat).Martin Steiger von Steiger Legal hat viele Publikationen (nicht nur) zum Thema DSGVO, unter anderem «Warum sich Schweizerinnen und Schweizer um die DSGVO kümmern sollten». Was Onlinerecht angeht ist Martin Steiger generell ein Held. Er kann allgemeinverständlich informieren, hat gute Ideen und ist für die Gemeinschaft da.Und zuletzt noch eine Quelle aus Bayern. Es ist bezeichnend, das ausgerechnet Bayern (Bayern!) eine umfangreiche Handreichung für ihre kleinen Unternehmen und Vereine online gestellt hat. Hier kann man sich sehr spezifisch informieren, zum Beispiel als Kfz-Werkstatt oder Beherbergungsbetrieb. Coole Sache.

Und warum bin ich betroffen?

Naja, vermutlich bin ich es nicht. Eine Ausnahme dieser DSGVO sind Datenverarbeitungen «durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten». Ich vermute, dass meine private Homepage (und der private Blog) in den Bereich «persönlicher Tätigkeiten» fällt. Ausserdem bin ich zwar nicht immer natürlich, hoffe aber doch, als «natürliche Person» im juristischen Sinne anerkannt zu werden.Was passiert jetzt aber, wenn ich kommerzielle Angebote verlinke, mit denen ich zwar kein Geld verdiene, die aber im Regelfall selbst Geld verdienen? Eine Buchempfehlung mit dem Link auf Amazon? Eine Hotelempfehlung mit dem Link auf die Homepage des Hotels? Ja, alle diese Themen werden in den kommenden Jahren durch Gerichtsurteile geklärt (Aussage der verantwortlichen Politiker). Aber will ich dann in einem Gerichtsurteil gegen mich erfahren, dass ich es doch anders hätte machen sollen? Will ich mich wirklich mit Abmahnanwälten (wie gesagt: dem Bodensatz der Juristerei) beschäftigen?Aus diesen Gründen und weil ich ja immer wieder gerne was lerne, beschäftige ich mich also mit der Umsetzung.

Was habe ich gemacht?

Ich habe viel gemacht (vielleicht zu viel, aber weniger als ich dachte), aber dabei auch viel gelernt. Die einzelnen Massnahmen seht Ihr hier.

Der Auftragsdatenverarbeitungs(ADV)-Vertrag

Mit meinem Hoster (Cyon) habe ich per 25.05.2018 diesen Vertrag abgeschlossen, da er ja die Daten auf seiner Hardware speichert und auch «verarbeitet» … in einer sehr weiten Auslegung des Begriffs «verarbeiten»: Er erstellt zum Beispiel für mich (automatisiert) Datensicherungen, die dann auch bei mir liegen. Tatsächlich verarbeitet kein Mitarbeiter von Cyon meine benutzerbezogenen Daten (wie zum Beispiel Kommentare).

Cookies

Wer braucht Cookies? Abgesehen von den Chokoly Cookies, die ich beim Schreiben verbraucht habe? (Fast) Jede WordPress-Installation und fast alle anderen Systeme verwenden Cookies, um dem Benutzer das Leben einfacher zu machen. Ich vermute mal, dass wenige damit Unfug treiben … ich wüsste so spontan nicht, wie ich damit Unfug treiben könnte. Aber dennoch solltet Ihr die Zustimmung Eurer Besucher abholen, bevor die Cookies verwendet werden. Das ist zum Beispiel mit dem Plugin Cookie Consent für WordPress möglich.

Kommentarspam

Damit in den Kommentaren nicht ständig Werbung für russische Online-Sexportale (und ähnliche Angebote) erscheint, muss man die Kommentarflut eingrenzen. Wenn man nicht (potentiell tausende) Spamkommentare von Hand löschen will, hat WordPress da von Haus aus das perfekte Werkzeug: AkismetLeider verwendet Akismet Daten, die nach DSGVO nicht mehr übermittelt werden sollten. Es gibt aber eine (ebenfalls kostenlose) Alternative: Antispam BeeUm Antispam Bee DSGVO-konform zu machen, müssen aber noch ein paar Einstellungen deaktiviert werden (sind inzwischen standardmässig deaktiviert):
  • Öffentliche Spamdatenbank berücksichtigen
  • Kommentare aus bestimmten Ländern blockieren
  • Kommentare nur in einer bestimmten Sprache zulassen
Diese Einstellungen übertragen entweder die IP-Adresse oder den Kommentartext an externe Dienste. Deswegen sollten diese im DSGVO-Sinne deaktiviert werden.

Google Analytics / Besucherstatistiken

Ich habe mit Google Analytics abgeschlossen. Die Darstellung ist zwar ausgesprochen sexy, ich bezahle sie aber teuer, indem ich Google ihr «Produkt» liefere, also Informationen über Benutzer, die zu Werbezwecken genutzt (missbraucht?) werden können. Deswegen habe ich auf das freie Open-Source Tool Matomo (ehemals Piwik) umgestellt. Hier wird das Benutzerverhalten auch festgehalten, aber immerhin nicht mit Nutzern anderer Seiten kombiniert und zu Werbezwecken genutzt.Weil Cyon «geile Siäche» sind, wie man hier in der Region so sagt, waren das nur ein paar Klicks:
  • Subdomain anlegen
  • SSL auf der Subdomain aktivieren
  • Matomo über das App-Center von Cyon installieren
  • Matomo aktivieren über ihr eigenes WordPress plugin (WP-Matomo) verbinden. Das wäre aber auch mit einem einfachen Tracking-Code möglich.
Ich schreibe in meinem Blog ja für mich und nicht für Reichweite, Fame oder um die Welt zu verbessern. Deswegen ist es mir recht egal, ob und wer mein Zeug liest. Wichtig ist, dass ich es geschrieben habe. Ich könnte also ohne Probleme auf diese Statistiken verzichten. Für Unternehmen sieht das wiederum ganz anders aus: Das Nutzerverhalten auf der Site zu analysieren kann viel wertvolles für die Optimierung des eigenen Auftritts bringen. Überlegt Euch einfach gut, ob Ihr Google Analytics benutzen (und damit Eure Besucherdaten zur Ware machen) wollt oder ob das Entfernen von Google Analytics (und Umstellung auf Matomo?) nicht besser ist.Wollte ich bei Google bleiben, müsste ich einen abschliessen (Klick im Adminbereich), die Datenspeicherung auf den kürzestmöglichen Zeitraum (derzeit 13 Monate) einschränken (auch im Adminbereich) und im Analytics Code (JavaScript) die IP-Adressen-Anonymisierung aktivieren.

Facebook, Twitter & Co.

Hatte ich hier nie und brauche ich auch nicht. Facebook-Kampagnen oder auch die Interaktionen zwischen meinem Facebook-Profil und meiner Homepage interessieren mich nicht sonderlich. Auch das kann natürlich bei Unternehmen ganz anders aussehen. Wäre ich als Unternehmen in Social Media aktiv, wüsste ich schon gerne, welche Aktionen, Posts, Kampagnen mir Sichtbarkeit bringen (oder sogar einen Verkauf).

Datenschutzerklärung

Ich habe eine Datenschutzerklärung, die ich mir im Wesentlichen bei Martin Steiger und Steiger Legal abgeschaut (und natürlich angepasst) habe. Besonders interessant finde ich, dass Martin Steiger gemeinsam mit einer Kanzlei aus Hamburg einen Service anbietet, über den man für einen sehr überschaubaren Betrag seinen Ansprechpartner für den Datenschutz in der EU «mieten» kann. Grade für Hotels in der Schweiz, die Ihre Kernleistung zwar hier erbringen, deren Website aber zwingend auch in der EU zu Buchungszwecken (und hier werden ja Daten verarbeitet) genutzt werden muss, ist das eine interessante Möglichkeit. Alternativ könnte zum Beispiel auch hotelleriesuisse für ihre Mitglieder einen solchen Service anbieten und finanzieren.

Newsletter

… hab ich (noch) nicht. Bei Newslettern sollte man generell einen externen Anbieter (wie zum Beispiel MailChimp) verwenden. Diese können als Bestellformular direkt in die eigene Seite integriert werden und bieten die gesamte Infrastruktur: Double-Opt-In, Abmeldelink, …). Man sollte nur grob wissen, was man tut und mit MailChimp einen ADV-Vertrag abschliessen (geht genauso wie bei Google online).

Kommentare und Kontaktformular

Das ist in der Datenschutzerklärung abgehandelt. Im Prinzip würde ein «Wenn Du Depp nicht willst, dass ich die Daten habe, dann schicke sie mir nicht unaufgefordert!» reichen. Wer per Kontaktformular Daten an mich senden oder einen Kommentar auf meiner Seite hinterlassen will, der sollte sich bewusst sein, dass ich diese Daten verdammt noch mal speichern muss. Wem das nicht klar ist: Bitte dringend von Kommentaren und Kontaktversuchen absehen!

Avatar / Gravatar bei Kommentaren

Am besten die Anzeige von Avataren deaktivieren (unter Einstellungen / Diskussion), sonst werden Daten, wie die Emailadresse an externe Services übertragen, um diesen Avatar zu suchen und – wenn gefunden – zu laden.