“Die Umstellung auf SSL ist mit der richtigen Anleitung und einem funktionierenden Backup auch für Unerfahrene ein gut zu schaffendes kleines Wochenendprojekt.”

Quelle: wpletter Mai 2018

Am 25. Mai 2018 muss man soweit sein. Die neue Datenschutz-Grundverordnung (DSGVO) erfordert, wenn ich die juristischen Kommentare recht gut verstanden haben, dass auch jeder private Webseitenbetreiber bzw. Blogger ein sinnvolles Impressum sowie eine aussagekräftige Datenschutzerklärung führt. Des Weiteren, und davon kündet der Anfang dieses Beitrags, wird durch die DSGVO auch eine entsprechende Verschlüsselung (SSL) zur Pflicht – also der Schwenk von http zu https in der Adresszeile des Browsers (es sei denn man betreibt wirklich nur eine statische HTML-Seite, ohne große Interaktion mit den Besuchern).

Datenschutzerklärung, SSL, WordPress… woher nehmen? Für WordPress-Nutzer gibt es zwei recht gute Anleitungen, die Schritt für Schritt sowohl das Verschlüsselungsthema als auch die Datenschutzerklärung abarbeiten (ohne Garantie, dass alles funktioniert bzw. im Ernstfall eine Rechtsberatung ersetzt wird). Am Schluss gibt es bei mir noch einen Tipp bezüglich der WordPress-Plugins sowie der Verwendung von Fotos auf dem Blog und der Problematik mit dem Recht am eigenen Bild.

  1. Datenschutzgenerator
    Der Datenschutzgenerator bietet für Privatleute ausgehend von einem typischen Nutzungsprofil (WordPress, die üblichen Social Media-Kanäle sowie Standarddatenauswertung mit Serverlogs, Google-Analytics, matomo) eine entsprechende Datenschutzerklärung zusammenzustellen, die dann auf der eigenen Seite eingefügt werden kann. Mit zwei Podcastfolgen (#54 & #55) unter rechtsbelehrung.com gibt es viel wichtiges Hintergrundwissen, das es lohnt zu hören.
  2. SSL-Verschlüsselung
    Verschlüsselung für selbstgehostete wordpress-Blogs ist an sich auch machbar. Sonja hat hier eine umfangreiche und sehr übersichtliche Anleitung bereitgestellt. Mein Fazit: machbar. Die mixed-content-Probleme sind zwar ein wenig Fummelarbeit, aber auch bei der Umstellung von vier WordPress-Installationen klappt eigentlich alles ganz reibungslos. Weder gab es Inhaltsschwund noch wurde das Design zerlegt.
  3. WordPress-Plugins Man wird merken, dass einige WordPress-Plugins, die man im Einsatz hat, mixed-content Probleme verursachen, sodass man sie vermutlich vorerst abschalten wird bzw. nach Alternativen suchen muss. Jenseits der Verschlüsselungsproblematik können WordPress-Plugins aber auch datenschutzrechtliche Probleme machen, da leider nicht immer klar ist, ob sie DSGVO-konform sind. Insofern sie in zahlreichen Fällen personenbezogene Daten verarbeiten und man als Websitebetreiber verpflichtet ist, diese Datenverarbeitung oder -speicherung kenntlich zu machen, habe ich auf meinen Webseiten generell erst einmal alles ausgeknipst (Jetpack usw.), das mir nicht koscher vorkam. Viel kann man momentan an dieser Stelle nicht tun. Es gibt hier einen Beitrag, der etwas mehr als 100 Plugins auf DSGVO-Konformität abklopft (ohne Gewähr). Ansonsten sollte man noch einmal auf den 15. Mai warten, da will WordPress.org endlich handeln und mit „a comprehensive core policy, plugin guidelines, privacy tools and documentation“ reagieren. Vielleicht wird dann einiges transparenter, die Lage übersichtlicher und man kann mit entsprechenden Hinweisen in der Datenschutzerklärung, einige Plugins wieder anknipsen.
  4. Fotos
    Wenn man viele Fotos mit Personen auf seiner Website einsetzt, sollte man diesen Artikel kurz anlesen: Vorsicht, Kamera! – Fazit: Es ist ein Graus, aber auch nachvollziehbar. – Entsprechend vielleicht mal die Archive des Blogs/der Seite durchwühlen und nach problematischen Fällen fahnden, für die keine Einwilligung alles abgebildeten Personen vorliegt, und diese dann vom Netz nehmen.

Happy DSVGOen und Service-Post Ende.