17

DSGVO: Wie wir Spreeblick in drei Schritten angepasst haben

Im Grunde habe ich es mit der Anpassung dieses Blogs auf die neue DSGVO genauso gehalten wie mit allen wichtigen Aufgaben: Ich habe bis zum letzten Tag gewartet, nur das Nötigste gemacht und nebenbei ein Bild erstellt, auf dem „Don’t panic“ steht.

Tatsächlich hatte ich es mit Spreeblick einerseits leicht, weil wir nicht Facebook sind, andererseits befindet sich das Blog aber auch in einem geschäftlichen Zwischenfeld. Die Site wird betrieben von unserer KG, einem Familienunternehmen, das über die Website keine nennenswerten Umsätze generiert, boshafte Dritte könnten aber argumentieren, dass die Site dennoch Werbung bspw. für meine Autoren-Tätigkeiten oder unser Buch ist … ein rein privates Angebot ist Spreeblick also unter Umständen nicht, weshalb ich z.B. bei der Datenschutzerklärung lieber auf „Nummer sicher“ gegangen bin.

Außerdem habe ich mit Christoph Boecken einen technisch versierten Ansprechpartner, der das Blog gut kennt, das hilft enorm. Denn Spreeblick ist technisch ganz schönes Chaos an einigen Stellen, zu oft wurden Dinge verändert und alter Code einfach „irgendwie so gelassen“. Das war Aufräumen, ohne den Müll runterzubringen, sozusagen. Aber das Blog gibt es halt auch seit rund 16 Jahren.

Nicht zuletzt ist auf Spreeblick alles relativ einfach, weil uns die Nutzerdaten nicht wirklich interessieren, wir sammeln abgesehen von statistischen keine Daten für uns und werten nichts Bestimmtes aus, die meisten ärgerlichen Datensammler und Tracker erscheinen hier über Dritte, über eingebettete Inhalte also. Die muss man halt irgendwie loswerden oder zumindest darauf hinweisen – z.B. bei Amazon-Links und Ähnlichem.

Es sind hier auch sicher noch nicht alle Arbeiten abgeschlossen, aber das Gröbste scheint mir in Ordnung zu sein und hat mich 130 Euro und etwa einen Tag Arbeit gekostet – die Kosten sind nur deshalb angefallen, weil ich faul bin, das geht also auch günstiger.

Was ich gemacht habe:

1) SSL

Wollte ich schon immer mal machen, nun gab es einen Grund: spreeblick.com ist nur noch über eine sichere SSL-Verbindung zu erreichen. Das Zertifikat habe ich bei unserem Hoster HostEurope bestellt, kostet mich 2,99 Euro im Monat. Erträglich. Über Let’s Encrypt geht das kostenlos, wenn ich mal gar nichts Besseres zu tun habe, schaue ich mir das mal an. Auch, wer Domainspace z.B. bei Uberspace hat (unsere TINCON wird dort gehostet), spart Geld, auch andere Provider haben SSL in ihren Paketen mit drin.

Die Installation über HostEurope lief problemlos, allerdings hatte ich/hatten wir einiges auch innerhalb der Datenbank zu ändern, damit alle Verweise innerhalb des Blogs auch „https://“ statt „http://“ nutzen, es kann auch gut sein, dass hier und da noch Anpassungen fehlen.

Da wir hier eine Multisite-Installation von WordPress laufen haben, hat dieser Artikel sehr geholfen, und mit dem Plugin „Suchen und Ersetzen“ war es dann sehr leicht, Links in Posts zu korrigieren (Suche: „http://spreeblick.com“, Ersetze: „https://spreeblick.com“ usw., auch an „www“ denken und dann nur wp_posts in der Datenbank durchsuchen lassen).

Falls jemandem noch Seiten bei Spreeblick auffallen, bei denen SSL nur eingeschränkt angezeigt wird, freue ich mich über einen Hinweis!

2) Datenschutzerklärung

Das ist wohl der wichtigste Punkt im Rahmen der DSGVO, bei der ich nach dem Motto gehandelt habe: Möglichst alles raus, was nicht sein muss, auf alles andere hinweisen. Ich habe dazu den Datenschutz-Generator der Kanzlei Schwenke benutzt und dabei viel mehr mit „Ja“ beantwortet, als nötig wäre … außerdem habe ich eine kommerzielle Lizenz für 99 Euro netto erworben, einfach aus Sicherheit, siehe oben. Das Ergebnis kann man hier lesen.

3) Cookies

Zum Schluss habe ich noch das Plugin „Borlabs Cookies“ eingebaut, auf das mich Nicorola hingewiesen hatte. Die 29 Euro lohnen sich sehr, denn das Plugin lässt zum einen Nutzerinnen und Nutzer bestimmte Inhalte wie YouTube oder SoundCloud manuell nachladen, zum anderen können Besucherinnen und Besucher der Site selbst einstellen, welche Cookies sie akzeptieren und welche nicht. Ihr könnt das ebenfalls hier einsehen und auswählen, allerdings habe ich da selbst noch einige Details einzustellen, glaube ich – ich blicke einfach nicht immer durch, welche Skripte was genau laden, aber ich lerne ja immer dazu.

Das war’s. Vielleicht noch nicht perfekt, aber schonmal ganz okay. Nicht allzu viel Arbeit, außerdem ganz lehrreich (ich habe z.B. das lokale Statistik-Tool „Mint“ rausgeschmissen, weil ich es seit Jahren nicht benutze und voll vergessen hatte, dass es noch eingebaut ist …).

Jetzt bin ich gespannt, was mir und euch noch alles auffällt, bleibe aber in Sachen DSGVO und Spreeblick dabei:

Don’t panic.

UPDATES
jQuery liegt jetzt komplett lokal auf unserem Server, wird also nicht mehr von externer Quelle geladen.
Ich habe außerdem die Cookie-Box beim ersten Besuch der Site abgeschaltet, weil sie nervt. Einerseits ist das Mist, weil man ja BesucherInnen gleich zu Beginn die Möglichkeit geben will, andererseits ist die Box aber eh albern, weil Cookies auch lokal via Browser gesperrt werden können und in der Datenschutzerklärung darauf hingewiesen wird. Dort habe ich die Auswahlbox für Spreeblick trotzdem noch drin und um die Option „gar keine Cookies zulassen“ erweitert.

17 Kommentare

  1. 01

    Und ich in meiner Naivität glaube immer noch, dass es beim Datenschutz um die Vermeidung von Daten gehen sollte.

    In Wirklichkeit geht es offensichtlich darum, viele Texte anzuzeigen und viele Kontrollkästchen anklicken zu lassen.

    „Data is a liability, not an asset“

  2. 02

    Interessant. Zu einem ähnlichen Schluss, mit einem ähnlichen Start und ähnlichen Schritten kam ich heute auch: https://www.allesroger.net/archives/12323-dsgvo-und-das-private-wordpress-blog.html

  3. 03
    Hans

    Krass. Ich habe den Artikel gar nicht gelesen. Nur der Cookie-Disclaimer in my face ist schon so pervers. Eine Art Modal-Fenster, das- bevor ich einen Artikel lesen kann – eine Entscheidung verlangt, die ich gar nicht treffen kann, ohne auf einen der 2 (!) Hilfe-Buttons zu klicken, hinter denen mich wahrscheinlich ellenlange, quälend uninteressante Texte erwarten ohne dass es einen (eigentlich üblichen) X/Schliessen-Button gäbe.
    Wieso kann ich nicht einfach gar keine Cookies setzen?
    Ich will nur einen Artikel lesen.
    Wieso muss ich so bescheurte Entscheidungen treffen?
    Von mir aus wird halt ein Cookie gesetzt, dass ich beim Schliessen des Browsers lösche.
    Was hat das mit Datenschutz zu tun?
    Spreeblick kann von mir aus meine Fakedaten haben.
    Warum wird der Artikel zu diesem Desaster mit einem „Don’t Panic“ beendet?
    Was ist hier angebracht, wenn nicht Panik? Das ist eine Katastrophe. Alle Gurkenkrümmungswinkel-Polemiken über die EU werden hier aufs niederschmetterndste bestätigt.

  4. 04

    DSVGO? … einfach keine Daten sammeln, fertig!

  5. 05
    Uwe

    @#2110074: Statt erfolglos mit Netzsperren, wird jetzt halt über den Strohmann „Datenschutz“ versucht das Internet kaputt zu machen.

  6. 06

    @#2110074: Ich teile die Polemik des Kommentars nicht so ganz, im Kern finde ich das „Borlabs Cookies“ Plugin auch eher seltsam da die verlinkten Datenschutzseiten ja auch erst nach dem Treffen einer Entscheidung lesbar sind. Außerdem speichert das Cookie wiederum selbst die Entscheidung keine Cookies zuzulassen in einem Cookie.

  7. 07

    hi,
    den hassle mit suchen/ersetzen in der db kann man auch sein lassen und stattdessen in der .htaccess datei — mod.rewrite vorausgesetzt, aber das ist eigentlich mittlerweile standard, und wenn das blog ’nice urls‘ macht, ist es am start — alle non-http requests auf https umleiten, das geht schneller.
    ist allerdings ein kleiner performance bremser wegen des zusätzlichen requests und der weiterleitung, da ist es in der db zu ändern natürlich gründlicher, allerdings würde ich dann die lokalen links von http://(www.)blog.de/blah/… auf /blah/… abändern statt auf https://(www.)blog.de/blah/… – dann sind die unabhängig vom verwendeten Protokoll.

  8. 08
    zıəs uɐɟəʇs

    Der Blog lädt immer noch kräftig Skripts von Facebook (graph.facebook.com) und jquery wird auch von extern geladen (obwohl man das auch gut von lokal laden könnte). Es gibt auch noch jede Menge mixed Content (Icons/Logos werden z.B. oft per HTTP geladen). Irgend ein Pixel wird auch noch von s0.wp.com geladen – sicher auch irgend ein Tracking.

  9. 09

    @#2110151: Wie geschrieben: Es gibt noch zu tun. Facebook Open Graph muss raus, jQuery packen wir mal auf unseren Server, Icons/Logos *sollten* eigentlich https sein, aber wir suchen nochmal, und wp.com ist vermutlich die Statistik über Jetpack, aber das prüfen wir auch nochmal. Hinweise sind hilfreich, danke.

    Die Cookie-Box gefällt mir auch nicht (die Hilfe wird allerdings sofort in der Box angezeigt). Auf jeden Fall schaue ich mal, ob man nicht auch „Keine Cookies“ auswählen kann.

  10. 10

    @#2110151: Hast du mal ein Beispiel einer Spreeblick-Seite, auf der noch Bilder o.ä. per http geladen werden? Meine Stichproben zeigen nur https. Danke!

  11. 11

    Okay, jQuery sollte jetzt komplett lokal sein.

  12. 12
    a.s.

    @#2110161: Hallo Johnny,

    auf die Schnelle nur unter https://www.spreeblick.com/blog/category/kategorien/produkte/.

    Folgende URL:

    http://www.spreeblick.com/wp-content/uploads/2015/05/rp15.jpg
    http://www.spreeblick.com/wp-content/uploads/2016/04/rpTEN_300x250_1.png

    Im Chrome wird „Mixed Content“ in der Navigationsleiste durch ein Ausrufezeichen angezeigt. Dann einfach mal mit F12 die Dev-Tools öffnen und im Bereich „Console“ gucken wo es brennt. ;)

    viele Grüße aus Dresden

  13. 13

    @#2110199: Danke dir sehr! Die sind jetzt auf https. Merkwürdig, weil ich die Posts in der Datenbank geändert hatte … irgendwas flutscht da wohl durch.

  14. 14
    a.s.

    @#2110201: Du kannst ja nochmal das Plugin „Better Search Replace“ ausprobieren. Ich weiß nicht, ob das besser ist als „Suchen&Ersetzen“, aber bisher hatte ich gute Ergebnisse damit.

    https://de.wordpress.org/plugins/better-search-replace/

    all-inkl.com hat eine gute Anleitung dazu:

    https://all-inkl.com/wichtig/anleitungen/skripte/blogs/wordpress/ssl-in-wordpress-aktivieren_507.html

  15. 15

    @#2110202: Mache ich mal. *Eigentlich* hat „Suchen&Ersetzen“ gut funktioniert (dachte ich …), aber probieren kann man’s ja mal.

  16. 16
    Aha

    Gut zu wissen