Puh, die ersten Hürden sind genommen!

Der Blog läuft, die ers­ten Hür­de ist genom­men! Lei­der län­ger als erwar­tet. Ich kann mich noch gut dar­an erin­nern, als ich mich tage­lang mit dem Design eines Blogs beschäf­tigt habe. Das schen­ke ich mir zwi­schen­zeit­lich kom­plett — mini­ma­lis­tisch fin­de ich gut und mir ist der Inhalt wich­ti­ger. Also das Design war nicht das Pro­blem. Wor­d­Press hat sich deut­lich wei­ter­ent­wi­ckelt. Der Wie­der­ein­stieg war aber pro­blem­los mög­lich. Aber wor­an lag es denn eigentlich?

Rechtlichen Hürden bei einem Blog

Ich hat­te schon vor eini­gen Jah­ren kei­ne Lust, mich auch noch pri­vat mit der DSGVO aus­ein­an­der­zu­set­zen. Allei­ne das The­ma Impres­sum, war frü­her schon ätzend und eine Daten­schutz­er­klä­rung macht das Gan­ze nicht ein­fa­cher. Nicht das wir uns falsch ver­ste­hen — Daten­schutz ist wich­tig! Mei­ner Mei­nung nach sind die Hür­den, die ein klei­ner pri­va­ter Blog­ger neh­men muss, viel zu hoch und anstrengend.

Ich bin kein Jurist und sich allei­ne durch die kom­plet­ten Richt­li­ni­en und Gesetz­te durch­zu­wüh­len ist — wie soll ich es aus­drü­cken? — Schei­ße? Nach mei­ner lai­en­haf­ten Mei­nung, könn­te ich auf ein Impres­sum auf die­ser Sei­te ver­zich­ten — aber kann ich das wirk­lich? Ich wür­de mir lau­fend die Fra­ge stel­len, ob ich wirk­lich dar­auf ver­zich­ten kann. Also beginnt man nach­zu­for­schen und wird mit Plug-ins, Rechts­be­ra­tun­gen, Gene­ra­to­ren und sons­ti­ge Dienst­leis­tun­gen über­flu­tet. Das Gefühl etwas falsch zu machen wächst von Infor­ma­ti­on zu Infor­ma­ti­on. Soll man einen kos­ten­pflich­ti­gen Dienst in Anspruch neh­men? Ein jähr­li­ches Abo? Ein Abo, das mehr kos­tet als das Hos­ting bei mei­nem Pro­vi­der? Aber was pas­siert, wenn man von einem fin­di­gen Rechts­an­walt abge­mahnt wird? Puh!

Fra­gen über Fra­gen, die ich bis heu­te noch nicht alle zufrie­den­stel­len beant­wor­ten konn­te. Ich ver­mu­te Men­schen, die sich auch mit einer pri­va­ten Web­sei­te beschäf­ti­gen, wer­den die­se Hür­de nicht neh­men wol­len, wis­sen davon nichts oder sie inter­es­siert es nicht — wo kein Klä­ger, da kein Rich­ter. Ich habe mich trotz­dem dazu ent­schlos­sen wei­ter zu machen.

Aber genug geheult, zurück zum Thema.

Private Adresse veröffentlichen 

Wo wir beim The­ma Daten­schutz sind. Kennt ihr das Pro­blem, dass auf ein­mal ein Piz­za-Bote mit einer Bestel­lung vor der Tür steht und ihr über­haupt nichts bestellt habt? Ich ja, weil ein Schelm oder viel­leicht doch bes­ser Troll es wit­zig fand, mir das an mei­ne “bekann­te” Adres­se zu senden.

Wer eine Inter­net­sei­te betreibt, muss damit rech­nen, dass die pri­va­te Adres­se bekannt wird. Mei­ner Mei­nung nach muss man es aber nicht jedem direkt auf die Nase bin­den. Dies­be­züg­lich kann ich die Sei­te von Andre­as Hage­mann [1] wärms­tens emp­feh­len, der in einem Bei­trag [2] das The­ma auf­greift und Lösungs­we­ge aufzeigt.

Hür­de Pri­va­te Adres­se -> erle­digt.

Impressum und Datenschutzerklärung

In Wor­d­Press wer­den unzäh­li­ge Plug-ins ange­bo­ten, die das The­ma Daten­schutz zum Inhalt haben. Im Inter­net selbst gibt es auch unzäh­li­ge Gene­ra­to­ren, die dem inter­es­sier­ten Besu­cher es leicht machen soll, sich ein Impres­sum oder Daten­schutz­er­klä­rung zu erstel­len. Die Aus­wahl rie­sig, aber ganz so ein­fach ist das mei­ner Mei­nung nach auch nicht. Da muss man sich aber wohl oder übel durch­bei­ßen. Letzt­end­lich habe ich mich dazu ent­schie­den den Daten­schutz-Gene­ra­tor [3] zu ver­wen­den. Die gro­ße Her­aus­for­de­rung hier ist aller­dings (wie bei allen ande­ren auch), dass der Web­sei­ten­be­trei­ber wis­sen muss, wel­che Soft­ware, Plug-ins oder Diens­te er nutzt bzw. wo wel­che per­so­nen­be­zo­ge­ne Daten wie genutzt und ver­wen­det werden.

Hür­de Impres­sum und Daten­schutz­er­klä­rung -> erle­digt.

Auftragsverarbeitung

Oh ha! Was ist das jetzt schon wie­der? Die Auf­trags­ver­ar­bei­tung [4] (kurz: AVV) frü­her auch als Auf­trags­ver­ar­bei­tung (kurz: ADV) wird benö­tigt, wenn per­so­nen­be­zo­ge­nen Daten durch einen Dienst­leis­ter im Auf­trag durch euch ver­ar­bei­tet wer­den. Das ist — wie in mei­nem Fall — der Hos­ter der Web­sei­te. Die­ser spei­chert aus berech­tig­tem Inter­es­se die IP-Adres­se der Besu­cher für einen gewis­sen Zeit­raum. Mein neu­er Hos­ter (dazu spä­ter mehr) hat glück­li­cher­wei­se bereits alles dafür vorbereitet.

Hür­de Auf­trags­ver­ar­bei­tung -> erle­digt.

Hilfestellung

Hat­te ich schon erwähnt, dass die recht­li­chen Hür­den nicht ein­fach zu meis­tern sind? Wenn nicht, dann mache ich das jetzt “die recht­li­chen Hür­den sind zu kom­pli­ziert”. Ich habe kei­ne Lust, dem The­ma noch mehr Platz zu wid­men. Ich bin kein Jurist und es gibt da drau­ßen im Inter­net Men­schen, die haben sich mit Sicher­heit noch inten­si­ver damit aus­ein­an­der­ge­setzt als ich. Somit gebe ich euch eine klei­ne Link­samm­lung an die Hand, die euch in eurem Tun unter­stüt­zen könnten:

Link­samm­lung:

To-do-Lis­te Blog

Technische Hürden

Mei­ne Lei­den­schaft, die Tech­nik — so schwer kann es doch nicht sein — Pustekuchen!

WordPress-Testumgebung

Ich bin da eigen. Ich brau­che eine Test­um­ge­bung — erst tes­ten, pro­bie­ren, ver­bes­sern und dann nut­ze ich es pro­duk­tiv! Die Mög­lich­keit hat nicht jeder. Wer aber inter­es­se hat, wie ich mei­ne Test­um­ge­bung auf­ge­baut habe kann ger­ne in Kür­ze die­sen <hier: !To-do-Lis­te> lesen. 

Hür­de Test­um­ge­bung -> erle­digt.

Hoster

Ich habe eine kla­re Vor­stel­lung an mei­nen Hos­ter gehabt. 

Mei­ne Anfor­de­run­gen an den Hoster:

  • schnel­le Seite
  • PHP 7.4 — Sup­port (mind. 7.3)
  • Daten­ban­ken (mind. 2)
  • E‑Mail Post­fach mit Spam- und Viren­fil­ter (mind. 50)
  • Web­mail
  • deutsch­spra­chi­ger Support
  • Con­tent­ma­nage­ment manu­ell installierbar
  • SSL-Unter­stüt­zung der Webseite 
  • Unter­stüt­zung von .com, .net Domänen
  • mög­lichst vie­le Domä­nen inkl. (mind. 4)
  • Traf­fic-Flat
  • Spei­cher­platz (mind. 50 GB)
  • Sub-Domä­nen
  • (ssh-Zugang — wünschenswert)
  • (cron-Jobs-Sup­port — wünschenswert)
  • (nati­ve Unter­stüt­zung Let’s Encrypt-SSL-Zer­ti­fi­kat — wünschenswert) 

Lei­der hat mein alter Pro­vi­der nicht die aktu­ells­te PHP-Ver­si­on unter­stützt, was noch ver­schmerz­bar gewe­sen wäre. Mich hat ins­be­son­de­re aber die feh­len­de nati­ve Let’s Encrypt-SSL-Zer­ti­fi­kat [5] Unter­stüt­zung gefehlt. Markt son­diert, Anbie­ter mit mei­nen Anfor­de­run­gen und Geld­beu­tel ver­gli­chen und kur­zer­hand den Hos­ter gewech­selt. Ver­trag abge­schlos­sen, Auf­trags­ver­ar­bei­tung geschlos­sen, Domä­nen­um­zug ein­ge­lei­tet, Benut­zer, Post­fä­cher, Daten­ban­ken und SSL-Zer­ti­fi­ka­te ein­ge­rich­tet und zu guter Letzt Wor­d­Press installiert.

Hür­de Hos­ter -> erle­digt.

HTTPS-Verwendung

HTTPS wird nicht expli­zit in der DSGVO genannt, aber jeder Web­sei­ten­be­trei­ber der per­so­nen­be­zo­ge­ne Daten über­trägt, muss dafür Sor­ge tra­gen, dass dies sicher geschieht. Dies trifft in fast allen Fäl­len zu (z. B. IP-Adres­sen, die als per­so­nen­be­zo­ge­ne Daten gel­ten). Allei­ne aus Aspek­ten der Sicher­heit emp­feh­le ich immer die Web­sei­ten mit HTTPS zu verwenden.

Ich habe es da ein­fach. Mein Hos­ter bie­tet eine nati­ve Unter­stüt­zung dies­be­züg­lich. Mit weni­gen Clicks ist alles instal­liert und die Web­sei­te nur noch über HTTPS erreichbar.

HTT­PS-Ver­wen­dung -> erle­digt.

WordPress DSGVO-konform

Wie zuvor in die­sem Bei­trag erwähnt, spielt der Daten­schutz eine wich­ti­ge Rol­le, wenn man eine eige­ne Web­sei­te betreibt. Wor­d­Press ist lei­der mit der Stan­dard­in­stal­la­ti­on nicht ganz DSGVO-kon­form. Pro­ble­ma­tisch ist:

  • Gra­va­tare
  • Goog­le-Fonts
  • Emo­jis
  • Plug-Ins, die bei der Stan­dard­in­stal­la­ti­on mit instal­liert werden

Dies­be­züg­lich wer­de ich noch einen eige­nen Bei­trag ver­fas­sen, den ihr bald <hier: !To-do-Lis­te> fin­den werdet

Hür­de Wor­d­Press DSGVO-kon­form -> erle­digt.

WordPress besser schützen

Wor­d­Press ist weit ver­brei­tet. Das Pro­blem, das sich dar­aus ergibt: “Es ist weit ver­brei­tet”. Das macht Wor­d­Press zu einem belieb­ten Angriffs­ziel. Die Struk­tu­ren und der Code ist bekannt. Eine mög­li­che Lücke zu fin­den und aus­zu­nut­zen ist wahr­schein­lich. Man tut also gut dar­an, es einem Angrei­fer so schwer wie mög­lich zu machen. Eine 100 %-Sicher­heit gibt es aber nicht!

Wie man Wor­d­Press bes­ser schüt­zen kann, beschrei­be ich bald <hier: !To-do-Lis­te>.

Wor­d­Press bes­ser schüt­zen -> erle­digt.

WordPress und die Plug-ins

Ich habe ein gespal­te­nes Ver­hält­nis zu den Plug-ins. Das hängt damit zusam­men, dass mein Sicher­heits­emp­fin­den ein ande­res ist, als das von vie­len ande­ren Wor­d­Press-Nut­zern. Ich bin der Mei­nung, weni­ger ist mehr.

Mir ist es wich­tig zu ver­mit­teln, dass Plug-ins immer eine zusätz­li­che Angriffs­mög­lich­keit bie­ten. Instal­liert nur sol­che Plug-ins, die ihr tat­säch­lich benö­tigt. Stellt euch selbst min­des­tens die zwei wich­ti­gen Fragen:

  • Benö­ti­ge ich die­ses Plug-in wirk­lich, wor­in liegt der Nutzen?
  • Ist die­ses Plug-in DSGVO-konform?

Plugins und die DSGVO

Habe ich da schon wie­der DSGVO gele­sen? Ja, kor­rekt. Auch wenn man Wor­d­Press DSGVO-kon­form betreibt, kann ein Plugin dazu füh­ren, dass man nicht mehr DSGVO-kon­form han­delt. Aber dies­be­züg­lich ver­wei­se ich ger­ne auf einen Bei­trag [6] auf blogmojo.de.

Meine Plugins

Zwei Plug-ins die ich ger­ne bei Wor­d­Press verwende:

Viel­leicht konn­te ich etwas Hil­fe­stel­lung leis­ten. Für mich ist das ein klei­ner Merk­zet­tel, soll­te ich noch mal in die Situa­ti­on kom­men mei­nen oder einen ande­ren Blog auf der grün­den Wie­se neu auf­zu­set­zen. Mir bleibt nur noch die feh­len­den Bei­trä­ge aus die­sem Bei­trag zu ergänzen.

Viel Spaß euch!

Quellen:

Schreibe einen Kommentar