Info

Einleitung

Hinter den Kulissen von »kopfschaschlik.de« arbeitet ein motiviertes Team bestehend aus mir. Persönlich halte ich Datenschutz für ein wichtiges Gut. Man kann sich bezüglich dieser Thematik nichtsdestotrotz wahrlich totmonken. Diese Seite möchte ich nutzen, um alle Maßnahmen aufzuführen, welche getroffen wurden, um der aktuellen Rechtslage, als auch dem willigen Leser gerecht zu werden. Jeder Schritt wurde im Vorfeld natürlich nach bestem Wissen und Gewissen recherchiert. Hinweise und Verbesserungsvorschläge können mir gerne mitgeteilt werden. Ich bitte zu berücksichtigen dass ich weder Jurist, noch Entwickler der hier eingesetzten Software (CMS, Theme, Plugins etc.) bin.

Inhalt
1. Allgemein
1.1 Webspace / Hoster
1.2 Content Security Policy
1.3 WordPress Einstellungen
1.4 Ein angemessenes Template
1.5 Privacy & Security through obscurity?!
1.6 Plugins, der faule Zahn eines weißen Lächelns
1.7 Was sonst noch?!
2. Erhebung und Verarbeitung personenbezogener Daten
2.1 Besuch der Webseite
2.2 Die Kommentarfunktion
2.3 Meine Kontaktdaten
3. Aktualisierungen / Changelog

1. Allgemein

1.1 Webspace / Hoster

Meinem Webhosting-Anbieter habe ich seit dem 20.02.2008 die Treue geschworen. In jener längst vergangenen Zeit hat niemand an die derzeitige Datenschutz-Grundverordnung (DGSVO) bzw. General Data Protection Regulation (GDPR) gedacht. Kein Wunder, denn das Internet galt auch 2013 in Deutschland noch als Hexenwerk, bzw. Neuland. Wie dem auch sei, der Bauplatz meines Blogs wird von der UD Media GmbH bereitgestellt. Für eine Internetpräsenz rein privater Natur, ohne finanzielle oder gar gewerbliche Intentionen, halte ich ein eigenes Blech (Server) für überdimensioniert. Ein SSL-Zertifikat ist im Einsatz. Ein Vertrag zur Auftragsverarbeitung wurde ebenfalls geschlossen.

1.2 Content Security Policy

Eine Content Security Policy ist aktuell nicht gesetzt! Selbst unter Verwendung von Mozilla Laboratory, ist es mir derzeitig nicht möglich, eine CSP zu generieren, welche akkurat arbeitet. Zusammenfassend kostet mich dies satte 25 Punkte, was schlussendlich mit einer B-Note resultiert. Es ist trivialerweise zweifelhaft, was jetzt besser ist. Ich bevorzuge lieber keine, als eine mangelhafte Implementierung. Was dieses Thema betrifft, bleibe ich fraglos am Ball.

1.3 WordPress Einstellungen

Manch fundamentale Einstellung können direkt in WordPress vorgenommen werden. Die hier getroffene Auswahl ist von mir keine explizite Empfehlung und ganz gewiss nicht pauschal als das Gelbe vom Ei anzusehen. Ich persönlich setzte diese Voreinstellungen zum Teil schon seit damals vielen Jahren per Default so ein.

Standardeinstellungen für Beiträge:

  • Versucht, alle Blogs zu benachrichtigen, die mit dem Beitrag verlinkt sind. [off]
  • Link-Benachrichtigungen von anderen Blogs zu neuen Beiträgen erlauben. [off]
  • Erlaube Besuchern, neue Beiträge zu kommentieren. [off]

Weitere Kommentareinstellungen:

  • Benutzer müssen zum Kommentieren Name und E-Mail-Adresse angeben. [off]
  • Benutzer müssen zum Kommentieren registriert und angemeldet sein. [off]
  • Das Opt-in-Kontrollkästchen für Kommentar-Cookies anzeigen. [off]

Bevor ein Kommentar erscheint:

  • muss der Kommentar manuell freigegeben werden. [on]
  • muss der Autor bereits einen freigegebenen Kommentar geschrieben haben. [on]

1.4 Ein angemessenes Template

Für WordPress gibt es Themes noch und nöcher. Die meisten Themes sind aufgrund visueller Elemente und den dazugehörigen Techniken, unnötig aufgepumpt. Viele funktionieren nicht autonom, sondern sind für den beworbenen Funktionsumfang, auf Plugins von Drittanbietern angewiesen. Das fordert den Server, mindert die Performance, bietet potentielle Angriffsfläche und kommt dem geltenden Recht selten zugute. Für »kopfschaschlik.de« wurde ein schmales, geordnetes und flottes Template gesucht, was dennoch intuitiv bedienbar ist. Was das angeht, machte folgendes Theme das Rennent: GeneratePress von Tom Usborne.

1.5 Privacy & Security through obscurity?!

Die »functions.php« von WordPress bietet die Möglichkeit, durch sogenannte Hooks, etliche Funktionen ein- und auszuschalten. Wie einleitend angemerkt, ist die hier aufgeführte Verfahrensweise vermutlich nicht der Weisheit letzter Schluss und womöglich nicht das valide Patentrezept. Bisher sind diese Grundgedanken für mich dennoch zweckdienlich. Im Rahmen meiner Nachforschungen habe ich dabei naturgemäß verschiedene Quellen zu Rate gezogen.

Es ist auffallend, das viele Hooks nach dem Stille-Post-Prinzip weitergegeben werden, ohne die Funktionsfähigkeit zu prüfen. Ich habe mich auf eine Quelle fokussiert, welcher ich mein Zutrauen, aufgrund der Referenzen des Autors schenke. An dieser Stelle ist das Blog von Mike Kuketz (www.kuketz-blog.de) zu erwähnen, jenes möchte ich jedem Interessierten ans Herz legen. Er schreibt seit vielen Jahren zu sicherheits– und datenschutzrelevanten Problematiken, seine Arbeit spricht diesbezüglich für sich selbst.

IP-Adresse der Kommentatoren anonymisieren
Für gewöhnlich werden von WordPress die IP-Adressen von Kommentierenden erfasst. Der EuGH hat geurteilt, dass dynamische IP-Adressen personenbezogene Daten sind. Auf Grund dieser Aburteilung werden IP-Adressen von mir durch nachstehenden Code anonymisiert. Die IP-Adressen von Kommentatoren werden durch die »127.0.0.1« ersetzt, um gezielte Rückschlüsse auf eine Person zu unterbinden.

function replace_comment_ip() {
return "127.0.0.1";
}
add_filter( 'pre_comment_user_ip', 'replace_comment_ip', 50);

Quelle: kuketz-blog.de

Deaktivierung der Felder für E-Mail, URL und Cookie Consent im Kommentar-Formular
Wie einleitend angeführt, ist die Option »Benutzer müssen zum Kommentieren Name und E-Mail-Adresse angeben.« in meinen WordPress-Einstellungen [off], sprich deaktiviert. Weswegen? Das ist einfach erklärt. Ich möchte hier keine Menschenseele dazu nötigen, personenbezogene Daten preisgeben zu müssen. Daten, welche nicht erhoben wurden, können auch nicht verarbeitet werden. Punkt.

Hinweis: Es ist auch möglich, einen Kommentar gänzlich ohne Angabe von Namen oder Pseudonyms zu verfassen. Solche Kommentare werden dann stellvertretend unter Verwendung des Platzhalters »Anonymous« gekennzeichnet.

Ebenfalls ist die Option »Opt-in-Kontrollkästchen für Kommentar-Cookies anzeigen.« bei mir [off]. Das kann man halten wie ein Dachdecker. Selbstverständlich könnte ich dem Besucher die Wahl lassen einen Cookie zu setzen, oder eben nicht. Ich kann andererseits im Sinne der Datensparsamkeit vorgehen, und den gewollten Einsatz überflüssiger Cookies (Komfort-Kekse) blockieren. Das ist ein geringer Preis für ein kleines Stück vom Datenschutz-Kuchen. Kommentare werden vorerst von unserem motivierten Team abgesegnet. Unverhältnismäßige Bemerkungen werden als solche kenntlich gemacht bzw. gesperrt. Ich habe den Hook um »unset($fields[‚cookies‘]);« ergänzt.

add_action( 'after_setup_theme', 'tu_add_comment_url_filter' );
function tu_add_comment_url_filter() {
add_filter( 'comment_form_default_fields', 'tu_disable_comment_url', 20 );
}

function tu_disable_comment_url($fields) {
unset($fields['url']);
unset($fields['email']);
unset($fields['cookies']);
return $fields;
}

Quelle: generatepress.com

Deaktivierung der WordPress Emoticons
Folgender Schritt kann mit einem „weinenden“ – in Anführungszeichen – , als auch mit einem lachenden Auge gesehen werden. Die Emoticons sind ein Performance-Hemmer und werden zudem ungefragt aus fernen Ländern geladen. Nachstehender Hook soll die Strichgesichter abschalten, was also nicht nur dem Datenschutz gut zu Gesicht steht, sondern auch der Geschwindigkeit des Netzauftritts.

function disable_emojis() {
remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
remove_action( 'admin_print_scripts', 'print_emoji_detection_script' );
remove_action( 'wp_print_styles', 'print_emoji_styles' );
remove_action( 'admin_print_styles', 'print_emoji_styles' );
remove_filter( 'the_content_feed', 'wp_staticize_emoji' );
remove_filter( 'comment_text_rss', 'wp_staticize_emoji' );
remove_filter( 'wp_mail', 'wp_staticize_emoji_for_email' );
add_filter( 'tiny_mce_plugins', 'disable_emojis_tinymce' );
}
add_action( 'init', 'disable_emojis' );

function disable_emojis_tinymce( $plugins ) {
if ( is_array( $plugins ) ) {
return array_diff( $plugins, array( 'wpemoji' ) );
} else {
return array();
}
}

Quelle: kuketz-blog.de

Bei mir funktioniert dieser Hook nicht. Kann daran liegen, dass es derweilen versionsbedingt einen neuen, mir unbekannten Hook gibt. Auf Nachfragen beim Theme-Entwickler, ist mir zum Plugin Autoptimize von Frank Goossens geraten worden. Dies bietet neben diversen Optimierungen, auch die Möglichkeit, Emoticons und Google-Fonts zu entfernen. Eine Lösung ohne Plugin würde ich dennoch bevorzugen. 🙁

1.6 Plugins, der faule Zahn eines weißen Lächelns

WordPress Plugins sind schlecht, sie sind der Teufel, programmierter Hokuspokus! Im Kern ist dem so. Jedes eingesetzte Plugin stellt einen eventuellen Angriffspunkt dar. Viele Blogs bieten durch exzessiven Einsatz mannigfaltiger Plugins ein wahres Eldorado für angehende Hobby-Hacker. Ungeachtet dieser Tatsache sind viele Erweiterungen an sich digitale Bremsklötze. Auch in der deutschen Breitbandwüste will keine Sau einer Webseite beim Aufbau zugucken, obwohl man selbst über einen potenten Zugang verfügt.

Man sollte den Einsatz von Plugins demnach auf das Wesentliche reduzieren. Zusätzlich macht es unter Umständen Sinn, einen Entwickler für ein anständiges Produkt mal zu entlohnen, denn Geiz ist nicht immer geil. Ich nutze Plugins, schlicht um als Hobbyist Zeit zu sparen und die Fähigkeiten von jemanden in Anspruch zu nehmen, der es eben besser kann. Folgende Plugins setze ich ein:

  • Borlabs Cookie
    Bei meinen Recherchen habe ich viele Blogs entdeckt, deren Autoren glaubten, frei von Cookies zu sein. Das war eventuell mal so, doch können sich z.B. durch Aktualisierung jederzeit unbemerkt Cookies einschleichen, wie bei besagten Autoren. Ich konnte mein Blog bisher nicht bereinigen und diesbezüglich will ich schlicht sichergehen.
  • Safe SVG Pro
    Scalable Vector Graphics kurz SVG ist ein XML-basiertes Vektor-Format. Auf Vor- und Nachteile möchte ich nicht eingehen. SVG-Bilder können faktisch ein Sicherheitsproblem (z.B. Codeinjektion) darstellen, weshalb diese nicht per Default von WordPress unterstützt werden. Safe SVG nutzt die SVG-Sanitizer-Bibliothek, um SVG-Bilder von unsinnigen Quellcode zu bereinigen. Positiver Nebeneffekt ist, dass SVG’s dadurch in der Dateigröße schrumpfen, was wiederum Ladezeiten zugutekommt.
  • Antispam Bee
    Antispam Bee wird eingesetzt, um datenschutzkonform möglichen Spam in Kommentaren einzuschränken. Zu gerne wird die Chance zur Verbreitung von Spam genutzt, wenn anonym Kommentare verfasst werden können. Antispam Bee ist kosten- wie werbefrei und 100% konform mit der Datenschutzgrundverordnung (DSGVO).
  • Autoptimize
    Dieses Plugin nutze ich aufgrund der Empfehlung von GeneratePress. Ich habe hier die Extra Optionen aktiviert, Emojis als auch Google Fonts zu entfernen. Zusätzlich nutze ich Optionen für die Optimierung von HTML, CSS und JavaScript. Im Gegensatz zum zunächst von mir eingesetzten Cachify, profitiert speziell meine Seite von diesem Plugin mehr.
  • BBQ Pro
    BBQ Pro ist vollständig datenschutzkonform, es sammelt keinerlei Benutzerdaten. Dieses Plugin dient als Firewall, welche verdächtige Anfragen an die Webseite und Datenbank blockiert.

1.7 Was sonst noch?!

Ich verzichte bewusst auf eine direkte Option zum Teilen meiner Beiträge. Gerne kann via Copy and Paste in sozialen Netzwerken geteilt werden. Ich habe dazu eine Funktion eingebaut, welche es ermöglicht, durch markieren der URL und dem drücken von STRG+C, diese zu kopieren, um die URL dann anderenorts durch drücken von STRG+P einzufügen. Dies sollte eine datenschutzfreundliche, adäquate Lösung sein.


Vorwort zur Datenverarbeitung

Für mich als private Person ist die DSGVO ein problematisches Themengebiet, welches nichts anderes als verunsichert. Die typischen Lippenbekenntnisse, welche sich in vielen Hinweisen zum Datenschutz finden, möchte ich ungern partout wiederholen. Ich kann an dieser Stelle schlicht und ergreifend eins mit Gewissheit verkünden. Ich bin darin bestrebt, die geltende Rechtsprechung nach bestem Wissen und Gewissen umzusetzen. Dazu verfolge ich im Rahmen meiner technischen und sachverständigen Möglichkeiten diverse Ansätze.

Ich verzichte – vorbehaltlich, unter Berücksichtigung der technischen Konstellation – auf die Verwendung zusätzlicher Cookies. Ich nutze keine Analyse-Werkzeuge, um mich an der Anzahl potentieller Besucher zu ergötzen. Ich überlasse es dem Besucher, ob er bei der Verfassung von Kommentaren überhaupt die Möglichkeit der Namenseingabe nutzt, oder eben nicht. Es liegt mir sowas von fern, Informationen für die Weitergabe an Dritte zu sammeln. Ich verfolge kein finanzielles Interesse, ganz im Gegenteil, denn neben Zeit investiere ich aus eigener Tasche Gelder für Hosting und Lizenzen.

Ich bin gewillt, bisher getroffene Maßnahmen stetig auszubauen und zu verbessern. Diesbezüglich bin ich offen für Verbesserungsvorschläge und Hilfestellungen, um die Idee von einem Blog rein privater Natur, nicht an der DSGVO scheitern zu lassen.

2. Erhebung und Verarbeitung personenbezogener Daten

2.1 Besuch der Webseite

Betrieb eines Blogs unter Verwendung des Content-Management-Systems (CMS) WordPress für private Zwecke. Systembedingte Erfassung personenbezogener Daten in Logfiles auf dem Webserver, welche durch den jeweils eingesetzten Browser übermittelt werden. Die Übermittlung dieser Informationen kann grundsätzlich nicht verhindert werden. Der Auftragsverarbeiter ist der Webhoster

2.2 Die Kommentarfunktion

Seitenbesucher können Kommentare zu Beiträgen abgeben, um eine Diskussion oder eine Kommunikation am Blog aufzubauen. Wird ein Kommentar hinterlassen, werden nach Freischaltung neben diesem, auch Angaben zum Verfassungszeitpunkt sowie der frei gewählte Nutzernamen (Pseudonym) des Kommentators veröffentlicht. Das Formular zur Kommentareingabe enthält keine Pflichtfelder und kann gänzlich ohne Verwendung eines Pseudonyms genutzt werden.

Die IP-Adresse abgesendeter Kommentare, wird unter Verwendung des Plugin Antispam Bee auf Gültigkeit geprüft. Die Analyse erfolgt direkt im Blog ohne externe Dienste. Das Plugin speichert keine privaten Benutzerdaten und ist 100% konform mit der DSGVO. Die IP-Adresse des Kommentators wird vor der Veröffentlichung des Kommentars mittels Hook anonymisiert und als lokale IP-Adresse »127.0.0.1« gespeichert.

2.3 Meine Kontaktdaten

Für die Kontaktaufnahme mittels E-Mail ist die Angabe einer gültigen E-Mail-Adresse erforderlich, um zu wissen, von wem die Anfrage stammt und um diese beantworten zu können. Weitere Angaben können freiwillig getätigt werden. Es wird absichtlich auf die Bereitstellung einer Kontaktmöglichkeit in Formularform verzichtet. Die Datenverarbeitung zum Zwecke der Kontaktaufnahme erfolgt nach Art. 6 (1) a, auf Grundlage einer freiwillig erteilten Einwilligung.


Stand: 19.03.2020 – diese Seite wird regelmäßig aktualisiert, überarbeitet und korrigiert. Verbesserungsvorschläge, Empfehlungen, Kritik und freundliche Hinweise, können gerne an folgende E-Mail gerichtet werden: ed[tod]kilhcsahcsfpok[ta]golb

3. Aktualisierungen / Changelog

19.03.2020: Aktualisierung von »Punkt 1.6«. Aufgeführte Plugins um Antispam Bee ergänzt.
Do NOT follow this link or you will be banned from the site!