Datenschutzgerechtes Bloggen. Erfahrungen mit der DSGVO

Blogger haben ein tolles Leben: Sie werden auf Weinmessen mit teuren Tropfen verwöhnt, bekommen die schönsten Designbücher ins Haus geschickt und tippen im Gegenzug ein paar Sätze in ihr iPad. Die Wirklichkeit sieht leider nüchterner aus und besteht beispielsweise darin, sich ein Wochenende lang mit der Datenschutzgrundverordnung (DSGVO) der Europäischen Union auseinanderzusetzen. Wer hätte gedacht, dass sich das Bemühen um datenschutzgerechtes Bloggen als eine aufschlußreiche Lernerfahrung herausstellt?

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union

Am 25. Mai 2018 tritt in der Europäischen Union die Datenschutz-Grundverordnung (DSGVO) in Kraft. Mit dieser Verordnung werden die Gesetze zum Datenschutz in Europa vereinheitlicht und die Vorschriften zum Schutz der Privatsphäre im digitalen Raum präzisiert und gestärkt. Die Verordnung hat weltweite Auswirkungen, weil sie nicht nur innerhalb in der EU gilt, sondern für alle Einrichtungen, die personenbezogene Daten von EU-Bürgern erfassen, speichern und verarbeiten.

Es ist leicht, die DSGVO abzulehnen, wenn man Cookie-Einverständnis-Banner genervt wegklickt, beim Nutzen von Kontaktformularen eigens ankreuzen muss, dass man mit dem Nutzen von Kontaktformularen tatsächlich einverstanden ist oder wenn Websitebetreiber IP-Adressen von Angreifern nicht an ein Sicherheitsunternehmen wie das Cerber Laboratory weiterleiten dürfen, weil Cerber Tech keinen Auftragsdatenverarbeitungsvertrag anbietet.

Auf der anderen Seite des Unmuts stehen freilich marktdominierende Unternehmen wie Facebook, deren schamlosem Datenabgreifen niemand wirksame grundrechtliche Grenzen setzte, wenn es die Europäische Union nicht täte. Kritische Softwareentwickler aus aller Welt fühlen sich dieser Tage durch die EU ermutigt und melden sich dankbar zu Wort. Auf diese weltweit wirksame Stärkung bürgerlicher Selbstbestimmung darf das oft zu recht gescholtene Europa durchaus stolz sein.

Wer mehr über die Hintergründe und den Entstehungsprozess der europäischen Datenschutzgrundverordnung wissen will, dem sei der vorzügliche, vielfach ausgezeichnete Dokumentarfilm Democracy – Im Rausch der Daten von David Bernet empfohlen:

Datenschutzgerechtes Bloggen: Was ich gelernt und gemacht habe

Websites sammeln Daten. Es ist praktisch unmöglich, eine Website aufzurufen, ohne persönliche Daten preiszugeben. Von den Webfonts, die die Schriften einer Seite ausliefern über das Laden eingebetteter Videos bis hin zu eigens für Tracking- und Profilbildungszwecke eingesetztem Analytikcode reicht die Palette der Beobachtungsinstrumente. Wenn Sie Cookies deaktivieren, können sogenannte Web Beacons weiterhin Daten über ihr Nutzerverhalten sammeln und somit ihre Datenschutzeinstellungen umgehen. Es ist sehr schwer, dem Zugriff der Algorithmen zu entkommen.

Umgekehrt ist es für einen Websitebetreiber eine Herausforderung, so etwas wie datenschutzgerechtes Bloggen einzurichten und anzubieten. Unter anderem mit Hilfe des sehr nützlichen DSGVO-Guides meines Hosters und Partners RAIDBOXES* habe ich viel Zeit damit verbracht, diesen Blog datenschutzfreundlich auszurichten. Ich wollte erreichen, dass meine Website so wenig wie möglich Daten erfasst und verwendet, dass höchstmögliche Transparenz herrscht und die Besucherinnen und Besucher die Kontrolle über ihre persönlichen Informationen haben. INVENTUR sammelt Daten daher nur, wenn dies erforderlich ist, um die Funktionen der Website zu ermöglichen, für die Sicherheit des Angebots zu sorgen oder die Benutzererfahrung zu verbessern.

Konkret habe ich folgende Maßnahmen getroffen, um auf INVENTUR datenschutzgerechtes Bloggen umzusetzen:

• SSL-Verschlüsselung der kompletten Website
• Weitere Sicherheitsmaßnahmen bei CMS und Hosting
• Caching und Backups nur auf Servern in Deutschland mit garantierter ISO 21007-Zertifizierung
• Opt-In Verfahren beim Setzen von Cookies: keine Cookies ohne Zustimmung des Besuchers, differenzierte Wahl- und jederzeitige Änderungsmöglichkeit
• Keine Nutzung von Webfonts, sondern datenschutzkonforme Einbindung der Schriften über den Server
• Einbindung von Videos mit dem ePrivacy Tool Borlabs Cookie*, das Drittanbieterinhalte erst nach ausdrücklicher Zustimmung lädt
• Anonymisierung der Internet-Protokolladresse bei der Nutzung des Webanalysedienstes Google Analytics
• Datenschutzkonformes Kontaktformular mit Einwilligungs-Checkbox
• Double Opt-In Verfahren bei der Newsletter-Anmeldung
• Auftragsdatenverarbeitungsvertrag (ADV) mit autorisierten Drittanbietern gemäß EU-Datenschutzverordnung (DSGVO)
• Kein Verkauf, Verleih oder Vermietung personenbezogener Daten
• Keine Social Plugins
• Kein Ad-Tracking

INVENTUR bekommt vom renommierten Information-Security-Unternehmen Qualys SSL Labs das bestmögliche Overall Rating A+.

Was als Nächstes kommt

Noch ist es schwierig, eine gute Alternative zu Google Analytics zu finden. Doch unabhängige Entwickler arbeiten daran. Die Alternativen fühlen sich nach dem Urteil von Jeremy Keith entweder „a bit geeky“ (beispielsweise Open Web Analytics) oder noch immer zu „creepy“ an (wie Matomo). Daher warten viele Websitebetreiber auf das von Paul Jarvis angekündigte Fathom Analytics, dessen Entwicklung ich im Rahmen einer Interessentenbefragung unterstützt habe.

Ein besseres Internet, so viel steht fest, bedarf sowohl staatlicher Rahmensetzung als auch verantwortlicher, kreativer und unabhängiger Entwickler, Websitebetreiber und Websitebesucher.

Abbildung: Round Icons*