Wie ich heute in meinem Blog etwa 3000 Kommentare aus 17 Jahren löschte

Noch drei Tage bis die DSGVO gilt, da musste ich dringend mal mein Blog anpassen, schließlich werbe ich hier auch für meine Tätigkeit als Publizist, was keine „rein private“ Nutzung ist. Das geht aber alles ganz einfach, wie zahlreiche Datenschützer nicht müde werden zu versichern. Also erstmal brauchst du eine Datenschutzerklärung, in der du rechtssicher und zugleich verständlich erklärst, was für Daten du erhebst, speicherst und wie du sie verwendest. Außerdem schreibst du für eine deiner Schreibtischschubladen ein vollständiges Verzeichnis deiner Datenverarbeitungstätigkeiten. Da kommt ganz genau rein, welche Daten du auf welcher gesetzlichen Grundlage speicherst, wofür die sie verwenden willst und wer bei dir Ansprechpartner ist. Und an Stellen im Blog, wo du Daten erhebst, formulierst du Einwilligungserklärungen zur Datenerhebung. Und dann kommen wir zum Löschkonzept, zu den Verträgen zur Auftragsdatenverarbeitung, zur den technischen Änderungen, die du am Blog vornehmen musst, und… Ok, scheiß drauf. Dieses Blog erhebt einfach keine Daten mehr. Und setzt null Cookies bei euch. Radikalkur.

Was ich im einzelnen gemacht habe:

  • Unabhängig von WordPress sicherstellen, dass der Webserver keine IP-Adressen in seinen Logfiles speichert. Tut meiner eh nicht.
  • Backup nicht vergessen. Und wenn alles erledigt ist und weiterhin funktioniert, Backup löschen nicht vergessen. Stecken ja noch personenbezogene Daten drin. Das gilt übrigens auch für die ganzen alten Backups, die du früher mal von deiner WordPress-Installation gemacht hast. Herrlich, so ein Start bei Null.
  • Alle Plugins entfernen, die in irgend einer Form tracken. Adsense, Analytics… alles raus. Kein Problem: Hatte ich sowieso nicht.
  • Alle Social Buttons oder Flattr und was es so gibt, müssen auch raus. Auch kein Ding: Hatte ich schon vor Jahren abgeschafft.
  • Achte darauf, dass dein Theme keine Google Fonts nachlädt. Mein Theme basiert auf „Twenty Seventeen“, da musste ich zwei Code-Stellen aus der functions.php herausnehmen.
  • Die Kommentarfunktion erhebt personenbezogene Daten. Und setzt unter Umständen Cookies. Also die Kommentarfunktion abschalten. Kommentiert ihr halt in Zukunft bei Facebook. Facebook hat eine tolle Datenschutzerklärung. Ich nicht. Dort seid ihr also sicherer mit euren Daten.
  • Für die alten Kommentare, die Menschen mal in euren Blogs hinterlassen haben, braucht ihr streng genommen alte Einwilligungserklärungen. Sowas hat natürlich niemand. Also alle Kommentare löschen. War eh viel Haterei dabei. Zugehörige Meta-Daten nicht vergessen.
  • Doch halt: Die Login-Seite setzt immer noch ein Auth-Cookie. Ich bin zwar die einzige Person, die in meinem Blog einen Account hat, aber es könnte sich ja jemand auf die nicht verlinkte Login-Seite verirren und anschließend rufen „Mama, Mama, das böse Blog hat mir einen Cookie gesetzt!“. Also Login-Seite verstecken, damit außer mir niemand drankommt. Das ist auch sonst eine gute Idee, um es Angreifern schwerer zu machen. Geht mit dem Plugin WPS Hide Login.
  • Dumm nur: In einigen Blogposts sind Youtube-Filme eingebunden. Und Youtube setzt ja auch wieder böse Cookies. Da gibt es auch ein Plugin für. Es heißt „Embed Videos and respect Privacy“ und sorgt dafür, das die Videos nicht direkt eingebettet sondern erst nach entsprechendem Klick nachgeladen werden. Das ganze sieht dann so aus. Vorsicht: Auf sehr alten Blogposts werden Videos eventuell anders eingebettet. Das muss durchgearbeitet werden.
  • Falls ihr noch irgendwelches anderes Zeug eingebettet habt, zum Beispiel Tweets: Weg damit oder irgendwie durch was ersetzen, wo Leute erstmal draufklicken müssen, bevor es tracken kann oder Cookies setzt. Ich hab sowas nicht, kann also auch nicht sagen, was ihr da braucht.
  • So. Geschafft. Mein WordPress setzt jetzt von sich aus keine Cookies mehr bei euch. Außer der EU-Cookie-Warnung, die ein Cookie setzt, um sich zu merken, dass sie euch vor Cookies gewarnt hat. Die kann jetzt auch weg. Hurra, bei mir müsst ihr das nie wieder wegklicken. Dienst am Leser.
  • Klingt viel, ist aber alles schnell erledigt. Ok, wenn du dich ein wenig mit mySQL und phpMyAdmin auskennst vermeidest du bei großen, alten Blogs lange Klickorgien im WordPress-Backend. Jedenfalls: Dies ist Beton-Variante von DSGVO-konform in unter einer Stunde. \o/

Fertig. Mein Blog ist jetzt die datenschutzkonformste kommunikative Einbahnstraße ever. Siehe Datenschutzerklärung.

Rant: Warum die DSGVO eine Datenschutz-Karikatur ist

Mein Geduldsfaden riss, als Angela Merkel am Donnerstag ankündigte, nochmal über die Datenschutzgrundverordnung (DSGVO) und ihre Umsetzung beraten zu wollen. Also demnächst nochmal alles revidieren? Nachdem wir monatelang versucht haben, die EU-Verordnung und ihre komplexen Wechselwirkungen mit anderen Gesetzen zu verstehen? Wir haben Mustertexte und Generatoren für Datenschutzerklärungen ausprobiert und viel Zeit damit verbracht, uns in die Dokumentationspflichten reinzufuchsen, in denen wir haarklein aufschreiben müssen, welches Datenhäppchen wir zu welchem Zweck auf welcher gesetzlichen Grundlage speichern. Und zwar auch, wenn wir die Daten gar nicht elektronisch speichern sondern im Aktenschrank. Falls wir Websites betreiben, haben wir Auftragsdatenverarbeitungsverträge mit unseren Webhostern abgeschlossen, obwohl die streng genommen gar keine Daten für uns verarbeiten, sondern wir das mit unserer Software auf den gemieteten Servern selber tun. Wenn wir Unternehmer sind, haben wir Datenschutzbeauftragte berufen oder angestellt, die das alles für uns auspuzzeln.

Lasen wir selbst in der DSGVO nach, waren wir erleichtert und hörten erstmal auf zu lesen, weil wir mit weniger als 250 Mitarbeitern nicht unter die Verordnung fallen. Oder vielleicht doch, weil wir mit besonders „risikobehafteten“ Daten hantieren, wobei schwer festzustellen ist, welche Daten überhaupt darunter fallen. Sind wir keine Unternehmer,  können wir uns oft nicht darauf ausruhen, dass wir Privatleute sind, weil irgend ein Aspekt unseres Online-Lebens uns als gewerbliches Handeln ausgelegt werden könnte. Wir haben uns in zahllose Artikel, Blogposts und Webforen eingelesen und jedes-fucking-Mal haben wir den Cookie-Hinweis weggeklickt. Wenn wir dabei ohne Tracking-Blocker unterwegs gewesen sind, haben wir den Werbenetzwerken mehr Information über uns selbst preisgegeben, als die meisten von uns jemals schützen könnten. Wir haben heiße Debatten in den sozialen Medien geführt und dabei alles und sein Gegenteil über die DSGVO gelesen, und zwar durchaus auch von gestandenen Juristen und Datenschutzexperten.

„Wir“, das sind Blogger, Arztpraxen, Fotografen, Onlinehändler, Influencer, Buchhaltungsbüros, Journalisten, Youtuber, kleine und große Vereine, Open-Source-Entwickler, Webdesigner, Coaches, Aktivisten, Berater oder Seelsorger – also genau diejenigen, die ganz offenbar immer wieder durch Datenmissbrauch auffallen und dringend mal strenger reguliert werden müssten.

Weiterlesen bei t3n.de