Noch drei Tage bis die DSGVO gilt, da musste ich dringend mal mein Blog anpassen, schließlich werbe ich hier auch für meine Tätigkeit als Publizist, was keine „rein private“ Nutzung ist. Das geht aber alles ganz einfach, wie zahlreiche Datenschützer nicht müde werden zu versichern. Also erstmal brauchst du eine Datenschutzerklärung, in der du rechtssicher und zugleich verständlich erklärst, was für Daten du erhebst, speicherst und wie du sie verwendest. Außerdem schreibst du für eine deiner Schreibtischschubladen ein vollständiges Verzeichnis deiner Datenverarbeitungstätigkeiten. Da kommt ganz genau rein, welche Daten du auf welcher gesetzlichen Grundlage speicherst, wofür die sie verwenden willst und wer bei dir Ansprechpartner ist. Und an Stellen im Blog, wo du Daten erhebst, formulierst du Einwilligungserklärungen zur Datenerhebung. Und dann kommen wir zum Löschkonzept, zu den Verträgen zur Auftragsdatenverarbeitung, zur den technischen Änderungen, die du am Blog vornehmen musst, und… Ok, scheiß drauf. Dieses Blog erhebt einfach keine Daten mehr. Und setzt null Cookies bei euch. Radikalkur.
Was ich im einzelnen gemacht habe:
- Unabhängig von WordPress sicherstellen, dass der Webserver keine IP-Adressen in seinen Logfiles speichert. Tut meiner eh nicht.
- Backup nicht vergessen. Und wenn alles erledigt ist und weiterhin funktioniert, Backup löschen nicht vergessen. Stecken ja noch personenbezogene Daten drin. Das gilt übrigens auch für die ganzen alten Backups, die du früher mal von deiner WordPress-Installation gemacht hast. Herrlich, so ein Start bei Null.
- Alle Plugins entfernen, die in irgend einer Form tracken. Adsense, Analytics… alles raus. Kein Problem: Hatte ich sowieso nicht.
- Alle Social Buttons oder Flattr und was es so gibt, müssen auch raus. Auch kein Ding: Hatte ich schon vor Jahren abgeschafft.
- Achte darauf, dass dein Theme keine Google Fonts nachlädt. Mein Theme basiert auf „Twenty Seventeen“, da musste ich zwei Code-Stellen aus der functions.php herausnehmen.
- Die Kommentarfunktion erhebt personenbezogene Daten. Und setzt unter Umständen Cookies. Also die Kommentarfunktion abschalten. Kommentiert ihr halt in Zukunft bei Facebook. Facebook hat eine tolle Datenschutzerklärung. Ich nicht. Dort seid ihr also sicherer mit euren Daten.
- Für die alten Kommentare, die Menschen mal in euren Blogs hinterlassen haben, braucht ihr streng genommen alte Einwilligungserklärungen. Sowas hat natürlich niemand. Also alle Kommentare löschen. War eh viel Haterei dabei. Zugehörige Meta-Daten nicht vergessen.
- Doch halt: Die Login-Seite setzt immer noch ein Auth-Cookie. Ich bin zwar die einzige Person, die in meinem Blog einen Account hat, aber es könnte sich ja jemand auf die nicht verlinkte Login-Seite verirren und anschließend rufen „Mama, Mama, das böse Blog hat mir einen Cookie gesetzt!“. Also Login-Seite verstecken, damit außer mir niemand drankommt. Das ist auch sonst eine gute Idee, um es Angreifern schwerer zu machen. Geht mit dem Plugin WPS Hide Login.
- Dumm nur: In einigen Blogposts sind Youtube-Filme eingebunden. Und Youtube setzt ja auch wieder böse Cookies. Da gibt es auch ein Plugin für. Es heißt „Embed Videos and respect Privacy“ und sorgt dafür, das die Videos nicht direkt eingebettet sondern erst nach entsprechendem Klick nachgeladen werden. Das ganze sieht dann so aus. Vorsicht: Auf sehr alten Blogposts werden Videos eventuell anders eingebettet. Das muss durchgearbeitet werden.
- Falls ihr noch irgendwelches anderes Zeug eingebettet habt, zum Beispiel Tweets: Weg damit oder irgendwie durch was ersetzen, wo Leute erstmal draufklicken müssen, bevor es tracken kann oder Cookies setzt. Ich hab sowas nicht, kann also auch nicht sagen, was ihr da braucht.
- So. Geschafft. Mein WordPress setzt jetzt von sich aus keine Cookies mehr bei euch. Außer der EU-Cookie-Warnung, die ein Cookie setzt, um sich zu merken, dass ihr mal weggeklickt habt, dass sie euch vor Cookies gewarnt hat. Die kann jetzt auch weg. Hurra, bei mir müsst ihr das nie wieder wegklicken. Dienst am Leser.
- Klingt viel, ist aber alles schnell erledigt. Ok, wenn du dich ein wenig mit mySQL und phpMyAdmin auskennst vermeidest du bei großen, alten Blogs lange Klickorgien im WordPress-Backend. Jedenfalls: Dies ist die Beton-Variante von DSGVO-konform in unter einer Stunde. \o/
Fertig. Mein Blog ist jetzt die datenschutzkonformste kommunikative Einbahnstraße ever. Siehe Datenschutzerklärung.