Achtung: Zum Thema CDN, Privacy Shield und DSGVO gibt es einen neuen überarbeiteten Beitrag. Ihr findet ihn hier
Der untere Artikel ist noch aus dem Jahr 2018 vor dem Inkrafttreten der DSGVO. Aber immer noch aktuell :=)
Nur noch 5 Tage bis zum finalen Countdown. Dann ist es soweit. Der Tag des jüngsten Gerichts wird über uns hereinbrechen. Nein, keine Angst. So schlimm wird es nicht werden. Sofern ihr euch einfach mit dem Thema auseinandersetzt und etwas Zeit investiert. Ich möchte euch heute ein paar kurze Tipps geben, die euch helfen, DSGVO konform zu werden.
Bitte beachtet. Es handelt sich um keine Rechtsberatung. Ihr handelt immer auf eigene Verantwortung.
Welche externe Verbindungen werden aufgebaut?
Der erste Schritt, den ihr machen solltet, ist zu prüfen, welche externen Verbindungen aufgebaut und dabei IP Adressen an externe Dritte übertragen werden. Das ist einfach wichtig, um eine Übersicht zu gewinnen. Wie das geht, ist ganz einfach.
- Ihr ruft eure Seite auf
- Wichtig ist, dass ihr eure Seite mit Strg + F5 aktualisiert. Es sollen keine Daten aus dem Cache geladen werden. Oder löscht einfach euren Cache und Verlauf im Browser.
- Macht einen Rechtsklick auf der Seite
- Ruft einfach den Punkt „Element untersuchen“ auf
- Dann geht ihr auf Netzwerkverbindungen
- Jetzt seht ihr alle Verbindungen, die nach draußen gehen.
Gut ist, wenn Ihr nur eure Domain unter dem Host aufgelistet findet. Alle sonstigen externen Verbindungen müssen überprüft werden.
DSGVO und Datenübertragung an Dritte
Lustig wird es nur bei solchen Auswertungen. Diese Ergebnisse solltet ihr bitte vermeiden.
So bitte nicht.
Welche Möglichkeiten habt ihr denn jetzt?
Bevor ihr nervös werdet. Es gibt für alles eine Lösung. Wichtig ist, sich erstmal Gedanken zu machen, ob Ihr den Service überhaupt benötigt. Meistens ein klares Nein. Aber Schritt für Schritt.
Google Fonts und Plugins
WordPress, die ganzen Themes und Plugins haben meistens die Angewohnheit, in Ihren CSS Dateien immer Google Fonts zu verwenden. Das ist ja auch kein Problem. Solange die Schriften eingebunden sind und nicht über den Google Server abgerufen werden. Aber leider ist dem oft nicht so.
Vielleicht vorweg. Wenn Ihr Google Fonts verwendet und diese bei dem Besuch eurer Seite geladen werden, übermittelt eben eure Seite die IP Adresse des Besuchers an Google und stellt somit eine Verarbeitung personenbezogener Daten durch Dritte dar. Und dann greift eben wieder die Gesetzgebung.
Ihr habt jetzt genau zwei Möglichkeiten.
- Ihr lasst es so, informiert euren Kunden darüber in der Datenschutzerklärung, dokumentiert das sauber in dem Verfahrensverzeichnis, schließt mit Google einen AVV, etc. Ist nicht gerade die beste Option.
- Ihr installiert eure Webfonts einfach lokal. Oder Ihr blockiert einfach die Google Fonts.
Ich persönlich habe mich für Option 2 entschieden. Es gibt mehrere Möglichkeiten und Anleitungen. Müsst einfach mal etwas bei Google suchen. Ich hatte den Vorteil, dass mein Theme dies direkt integriert hat und ich keine CSS Anpassungen vornehmen musste. Ihr müsst das einfach bei euch prüfen und ändern. Anleitungen gibt es dazu genügend.
Nicht jeder möchte sich jedoch mit dem Thema CSS anpassen herumschlagen. Ja ich weiß warum. Ich habe zum Beispiel alle Fonts lokal installiert, aber irgendein Plugin hat immer wieder diese Verbindung aufgebaut. Dank Kontakt zu einem Entwickler war die Lösung schnell in Sichtweite. Es ist der Visual Composer. Und den setzen viele Themes ein. Somit könnt auch ihr betroffen sein. Ich dachte einfach. Deaktiviere doch einfach das Plugin. Schlechte Idee. Denn meine Seite wurde dadurch zerschossen. So was tun. Etwas Google hier und da und ich bin auf ein Plugin gestoßen, das einfach alle Verbindungen zu Google unterbindet.
Das Plugin heißt: Remove Google Fonts References
Ist zwar etwas älter, funktioniert aber tadellos und Ihr seit eine Sorge weniger los.
Ansonsten gilt einfach. Prüft eure Plugins. Welche werden benötigt? Welche könnt Ihr deaktivieren? Schaltet wirklich alles ab, was Daten an Dritte versendet und Ihr nicht sicher seit, wer dahinter steckt. Ihr müsst am Ende alles erklären, warum Ihr keinen ADV habt, keine rechtliche Grundlage und nicht wisst wer noch alles Daten hat. Und ihr könnt es ja immer einfach prüfen. Immer nach der Deaktivierung eure Seite neu laden und prüfen.
Kommen wir zum übrigen Rest.
So bitte nicht.
Wie ihr auf der linken Seite seht, habe ich eine Seite gefunden, die Futter für DSGVO Verstöße liefert. Zum Einen werden keine SSL Zertifikate verwendet. Bitte aktiviert diese umgehend. Sofern Ihr bei einem externen Dienstleister seit, prüft, ob es bereits umgesetzt wurde. Wichtig. Selbst Blogger erlaubt mittlerweile den Einsatz eines SSL Zertifikats mit externer Domain. Langt zwar immer noch nicht, aber ein Schritt in die richtige Richtung.
Was sehen wir noch. Aha, der Einsatz von CDN = Content Delivery Network. Wird wahrscheinlich eher einen kleinen Teil der Leser betreffen, aber ich möchte doch einfach nochmal etwas sensibilisieren. Ein CDN soll dazu dienen, die Ladegeschwindigkeit eurer Seite durch Auslagerung von Daten auf weitere Server zu beschleunigen. Wenn nun Besucher die Seite aufrufen, werden die Daten eben durch den CDN Betreiber ausgeliefert und es findet eine Verarbeitung personenbezogener Daten statt.
Gemäß der DSVGO benötigt man eine rechtliche Grundlage für die Weitergabe / Verarbeitung personenbezogener Daten. Wichtig ist, mit dem Anbieter Kontakt aufzunehmen und einen AVV zu unterzeichnen. Und gemäß der DSGVO müsst ihr natürlich einen Rechtsgrundlage für die Datenweitergabe angeben. Ich empfehle auch, einen europäischen CDN Dienstleister zu verwenden.
Zum Schluss noch einen Tipp. Wer gerne Podcast hört, und sich mit dem Thema DSGVO beschäftigt, dem rate ich, sich folgenden Podcast anzuhören
