So eine Website an und für sich ist schon eine schöne Sache. Und mit WordPress auch ganz einfach zu basteln. Im Prinzip. Also – wie der Jurist sagt – grundsätzlich. Aber… Selbst bei einem kleinen, privaten Blog kann man schon mal verzweifeln. Denn natürlich möchte man alles richtig machen. Zumal dann, wenn man – wie ich – Richter ist und den lieben langen Tag normalerweise damit zubringt, den Menschen zu erklären, was sie alles so falsch gemacht haben. Und wenn man sich dann noch bösgläubig macht, weil man sich mit der Frage rumschlägt, ob man zum Beispiel so beliebte Dinge wie die praktischen Facebook-Plugins überhaupt verwenden kann (wohl eher nicht), dann gibt es eine Menge Fallstricke, die man vermeiden muss. Und das ist gar nicht so einfach. In diesem Beitrag möchte ich einige dieser Fallstricke vorstellen, denen ich mich bei Erstellung dieser Seiten gegenüber gesehen habe.
Es war einmal
Pünktlich kurz vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) hat sich meine Joomla!-Website aus ungeklärten Gründen verabschiedet. Beim Aufruf erschien nurmehr „Internal Server Error“. Das war an und für sich ganz praktisch, denn um die notwendigen Anpassungen brauchte ich mir nun erstmal keine Sorgen zu machen. Es war aber auch irgendwie schade, denn eigentlich wollte ich ja meine eigene Seite im Web haben – für die ich ja auch monatlich Geld zahle. Aber auch die Bedienung des CMS Joomla! ist alles andere als intuitiv. Und so habe ich mich dann entschlossen, nicht die „alte“ Website zu reparieren, sondern eine neue aufzusetzen. Technisch ist das übrigens wirklich einfach. WordPress ist wirklich innerhalb von 5 Minuten installiert. In diesem Fall lokal auf meinem Rechner zu Hause, denn bevor diese Site auch online geht, will man ja sicher sein, dass alles so aussieht, wie es soll und auch funktioniert. Und das testet man am Besten nicht in der jedem Menschen zugänglichen Weite des Internet. Wenn man ein frisch installiertes WordPress zum ersten mal aufruft, wird man zur Begrüßung gleich darauf hingewiesen, dass man eine Datenschutzerklärung braucht. Ein Rohentwurf ist praktischerweise schon vorhanden mit vielen Hinweisen, was da so alles reingehört.
Erst denken
Einer der Vorteile, die die DSGVO so mit sich bringt ist, dass man als Betreiber einer Website gezwungen ist, sich darüber Gedanken zu machen, welche Daten eigentlich beim Betrieb einer Seite anfallen, warum diese anfallen und bei wem. Über all das muss man nämlich informieren. Und dazu muss man es erst mal selber wissen. Und wenn man – was nicht immer ganz einfach ist – in Erfahrung gebracht hat, welche Daten so anfallen, muss man sich die Fragen stellen: Brauche ich das? Darf ich das? und: Kann ich das abstellen?
Für den Betrieb einer kleinen und privaten Website brauche ich eigentlich so gut wie gar keine persönlichen Daten. Insbesondere kann ich auf großartige Auswertungen meiner wenigen Besucher gut verzichten. Auf den ohnehin nur schwierig zu rechtfertigenden Einsatz von Analysetools wie Google Analytics oder Facebook-Pixel kann man also schon mal verzichten. Auf die Google-Problematik komme ich noch zurück. Dann würde ich aber halt nur gerne wissen, wer sie sind, wenn sie einen Kommentar hinterlassen. Und das ist doch praktisch schon alles. Das ist ja leicht.
Weit gefehlt. Das Internet ist geschwätzig. Und gefährlich. Darum muss sich mein Host-Provider schützen. Um etwaige Angriffe abzuwehren. Und darum muss man – um einen sichren Server zu betreiben – Log-Dateien haben. Und ihr Browser ist gesprächig – weil das technisch notwendig ist: Der Server muss zum Beispiel wissen, an welche Anschrift (die IP-Adresse) er die angeforderten Daten liefern soll, also sendet ihr Browser diese IP-Adresse an den Server meines Host-Providers. Und damit dieser weiß, ob er zum Beispiel die mobile Version der Seite schicken soll, erfährt er auch welchen Browser sie benutzen und auf welchem Betriebssystem dieser installiert ist. Und all dies sind personenbezogene Daten, die bei jeder Webseite im Logfile landen. Der wird zwar nach einiger Zeit anonymisiert (und nur in der Form habe ich selber Zugriff darauf), aber der Provider speichert die Daten nunmal. Ach ja, und weil er das in meinem Auftrag tut – es sind ja eigentlich „meine“ Daten, ist es eine gute Idee, mit seinem Hosting-Anbieter eine Auftragsdatenverarbeitungs-Vereinbarung abzuschließen. Das ging bei meinem Provider (Strato) ganz problemlos.
Nicht weiter sagen
Wie schon gesagt: Das Internet ist geschwätzig. Und darum erzählt ihre Website standardmäßig einer Menge Interessierter, wer sie gerade von welcher IP-Adresse mit welchem Browser besucht. Und zwar schlimmstenfalls, ohne dass der Seitenbetreiber es merkt (und daher auch nichts dagegen unternimmt). Einiges kann man leicht abstellen: Sie werden vielleicht die schönen Avatare von Gravatar vermissen, die Sie aus anderen Blogs kennen. Der Grund ist, dass diese eben von Gravatar stammen und von deren Server abgerufen werden. Und zwar von ihrem Browser, und der übermittelt dann schon mal ihre IP-Adresse, den Browserstring und wenn Sie ein Konto dort haben, auch noch ein ihnen zugeordnetes Kekschen, damit Gravatar „ihren“ Avatar übermitteln kann. Und das zu allem Überfluss auch noch in die USA. Die Funktion kann man glücklicherweise einfach deaktivieren.
Das gleiche passiert übrigens, wenn ich hier ein YouTube-Video einbinden würde – sonst könnte YouTube ihnen das Video nämlich nicht zeigen. Problematisch ist das, weil ich als Seitenbetreiber diesen Prozess zwar anstoße, aber ihn nicht kontrollieren kann. Ich werde daher bis auf Weiteres solche Inhalte nur verlinken, denn wenn Sie selber sich entscheiden, eine Webseite wie YouTube zu besuchen, dann wissen Sie, was sie tun und sollten auch wissen, welche Daten sie dorthin übermitteln. Auf meiner alten Seite gab es ein schönes Plugin, dass ihnen meinen Twitter-Feed anzeigte – das übermittelte natürlich den Umstand, dass sie meine Seite besucht haben, an Twitter (und was die mit der Information machen, weiß ich nicht). Darum werden Sie mir dann doch auf Twitter folgen müssen.
Fallstricke und wie man sie überwindet
So weit, so gut. Aber Google wäre nicht Google, wenn die nicht noch andere Tricks auf Lager hätten, um an ihre Daten zu kommen. Und da wäre ich beinahe drauf reingefallen. Der Trick hört auf den harmlosen Namen „Google Fonts“ und geht so. Google stellt ganz selbstlos sehr schöne Schriften zur Verfügung. Wenn eine Webseite diese verwendet, fordert ihr Browser diese bei Google an und bekommt sie auch (und damit das funktioniert, überträgt er die anfordernde Seite (Referer-URL), die IP-Adresse und den Browser-String). Und schwupps, weiß Google, dass sie gerade meine Seite betrachten. Dieses Problem war mir zwar bekannt, aber ich benutze dann halt keine Google-Fonts. Ja, bewusst nicht, aber WordPress – genauer gesagt das von mir benutzte Theme – sieht das anders. Wenn man mal nachschaut, was der Browser so herunterlädt, sieht man da ganz harmlos einen Google-Font. Den los zu werden ist schwierig. Ein Freund hat mir aber einen nützlichen Tipp gegeben: Wie so oft ist die Lösung ein Plugin (Autoptimize), das eigentlich den generierten Quellcode optimiert, aber eben auch die Möglichkeit gibt, Google-Fonts aus diesem zu entfernen.
Auf einen Fallstrick bin ich dann noch beim Abfassen der Datenschutzerklärung gestoßen: Wenn Sie bei WordPress einen Kommentar hinterlassen, speichert WordPress neben den Angaben, die sie (freiwillig) machen auch ihre IP-Adresse. Das hat den Zweck, eine automatische Spam-Erkennung wie zum Beispiel Askimet zu unterstützen. Das steht auch gut erklärt in der mitgelieferten Muster-Datenschutzerklärung. Da ich aber ihre Daten nicht an Askimet oder sonstige Dritte weitergeben will, brauche ich die Daten eigentlich nicht. Und damit darf ich sie auch nicht speichern. Die Speicherung mit dem Kommentar – noch dazu dauerhaft – dürfte eigentlich immer überflüssig (und damit unzulässig) sein. Nun könnte man sagen: Dann schalte das doch einfach ab! Dafür gibt es aber im Backend von WordPress keine Funktion. Google empfiehlt mir, an einer Datei namens „functions.php“ rumzubasteln, was wahrscheinlich bei jedem Update erneut erfolgen muss. Glücklicherweise gibt es auch dafür ein Plugin: GDPR tools: comment ip removement. Das habe ich dann mal installiert – sie können also unbesorgt kommentieren.
Es gäbe sicher noch viel mehr zu sagen, aber für heute will ich es damit bewenden lassen. Ich wünsche Ihnen allen sicheres und datensparsames Surfen.