Am 25. Mai tritt die neue EU Datenschutzgrundverordnung (DSGVO bzw. auf Englisch GDPR) in die Phase ein, in der Verstöße dagegen geahndet werden können. Rein theoretisch gilt diese Verordnung zwar nicht für private Webseiten, aber ich fürchte dass es nicht trivial sein wird, den privaten Charakter einer Webseite in einem Rechtsstreit zu definieren. Und ja, seit ich neulich in der Firma eine Schulung zu dieser neuen Verordnung „genießen“ durfte läuten hier alle Alarmglocken Sturm. Denn ich fürchte, dass genügend Abmahnanwälte am 25. Mai das einfache Geld wittern und Webseiitenbetreiber wegen eines Verstoßes gegen diese Vorschriften mit (natürlich kostenpflichtigen) Abmahungungen zu überziehen. Und diese Verordnung produziert sozusagen ein Minenfeld für Blogger. Man muss also aktiv werden, Hinweise was zu tun ist gibt es z.B. hier. 

Los geht es mit der tollen Einschätzung, dass sogar eine IP-Adrese ein personenbezogenes Datum ist, auch wenn es für mich als Blogbetreiber eigentlich unmöglich ist, aus einer dynamischen IP irgendwie auf den Urheber zu schließen. Ich kann vielleicht noch feststellen, dass dieses aus dem Adressbereich eines Internetproviders kommt, aber wer namentlich als natürliche Person diese IP zu einem bestimmten Zeitpunkt hatte weiß ich nicht. Das weiß nur der Provider und der muss solche Zuordnungen ja wegen der Vorratsdatenspeicherung sogar für den Staat aufheben. Egal, merken wir uns mal als erstes, alles was irgendwo IPs abspeichert ist böse. Heißt für mich als Kunden bei einem Hoster der mir keine Anonymisierung von IPs in den Server-Logs anbietet, dass ich komplett auf diese Logs verzichten werde. Auch diverse Plugins sammeln IPs, es ist also momentan ein rechter Eiertanz um rauszufinden wer IPs speichert und wie man das abdrehen kann. So habe ich z.B. gesehen, dass das WP-Ratings Plugin munter die IPs der Leute protokolliert welche Postings mit Sternchen bewerten. Das kann man aber per Einstellung abstellen und genau das habe ich getan. Auch in den Kommentaren sind IPs hinterlegt, wie man die wieder los wird ist hier beschrieben.

Böse ist auch der Datentransfer zu Dienstleistern außerhalb der EU. Der muss genauestens in den Datenschutzhinweisen definiert werden, aber am besten ist eben kein Transfer. Das bedeutet erst mal, dass ich bliebte Plugins wie JetPack und Akismet abgeschaltet habe. 

Akismet hat mich eh mit der Meldung überrascht, dass mein vor Jahren für private Blogs auf Lebenszeit bereitgestellter API-Key nun abgelaufen wäre. Und für neue API-Keys soll man natürlich bezahlen. Nö, nicht mit mir, seit gerade eben läuft hier Antispam Bee in den datenschutzkonformen Einstellungen. 

JetPack ist das Monster mit vielen Funktionen von denen einige womöglich Ärger einbringen können. Da ich im Zusammenhang mit JetPack nun kein Statement zu der Datenschutzverordnung finden kann habe ich das erst mal deaktiviert. Das tut natürlich in gewisser Weise weh, denn jetzt fehlen einige Funktionen wie

• Abonnieren vom Blog oder Kommentaren
• Absenden von Kommentaren mittels Identifikation über Twitter, Facebook & Co.
• Aussagekräftige Statistiken auf wordpress.com
• Die Nutzung von Android-App oder Desktop-App für WordPress, die benötigen die Verbindung via JetPack die ja jetzt gekappt ist. Heißt für mich wieder, die Blogartikel wie diesen im Browser zu schreiben.
• Das automatische Teilen von Blogartikeln in Sozialen Neztwerken. Nun denn, das kann ich nach Publishing ja dann auch erst mal selbst via datenschutzkonforme 2-Klick-Share-Buttons.

Auf der anderen Seite gab es mal eine Zeit, da konnten wir auch ohne JetPack ganz gut bloggen. Warum sollen wir das nicht wieder können.  

Das st jetzt der aktuelle Zwischenstand am heutigen Samstag. Ich werde mal sehen, was ich an Plugins installieren muss (z.B. den Cookie-Hinweis) und was ich in Sachen Datenschutzhinweise tun muss. Denn z.B. reicht ja auch das Einbetten eines YouTube-Videos in ein Blogposting dass die IP-Adresse des Blog-Besuchers an YouTube übertragen wird. Zusammen mit einem Referrer usw. 

[ratings]