Dieser Artikel ist Bestandteil einer Serie!
Weiter geht’s innerhalb der DSGVO (oder auch GDPR) mit dem Thema Datenweitergabe. Ein übles Thema. War’s ja auch schon früher.
Ich bin kein Rechtsanwalt: Dies ist entsprechend keine Rechtsberatung und ersetzt diese auch in keiner Weise! Ich schließe jede Haftung aus!
Ihr gebt Daten an Dritte weiter? Das geht NUR, sofern der Betroffene vorher eingewilligt hat! Du wirst jetzt denken: “Ich geb’ hier nix weiter… bleibt alles bei mir…” aber dem ist oftmals leider nicht so. Öffne mal Dein Blog und schau, woher die Fonts und Styles kommen. Nicht selten werden diese aus einem CDN nachgeladen. Und da diese lädt der Browser eures Lesers nach. Und Richtig… der übermittelt so (ungewollt) seine IP-Adresse, Browser-Typ, Betriebsystem, Uhrzeit und Referrer an diesen dritten.
Hier ein erster Tipp: Das Plugin “uBlock Origin” hilft dir zu erkennen, ob Dein Blog Daten an Dritte weitergibt. Installiere und aktiviere das Plugin (Datenschutz lesen!) und rufe dein Blog auf:
Hier kannst Du erkennen: ajax.googleapis.com wird aufgrufen. Rechts, neben der Pipette findest du ein “Tab-Zeichen”. Da jetzt einmal drauf klicken. Es geht einer neuer Tab auf…klickt rechts auf das “neu Laden”-Symbol. Nun wird die Webseite aufgerufen und dabei sämtliche URLs ausgegeben. Filtert nach “!Webseite” (Beispiel: !blog.renesasse.de). Dann seht ihr, was genau aufgerufen wird. Geht jede einzelne Seite durch!
Bei WordPress sind das sehr oft Fonts und Styles… die kann man mit einem Child des eingesetzten Themes gut abfangen und lokal ablegen. Ich gehe davon aus, dass das rechtlich kein Problem sein sollte: Die Google Webfonts haben eine SIL Open Font License, die das Herunterladen erlaubt. Lest auf jeden Fall selbst noch einmal nach.
Dann haben wir das Thema Spam-Check in den Kommentaren… Antispam-Bee und Akismet sind da wohl gerade Marktführer. Leider ist es auch hier so, dass bei einem solchen Check viele Daten direkt an die Betreiber übermittelt werden. Antispam-Bee kann wohl in Deutschland genutzt werden; allerdings ohne die „globale Anti-Spam Datenbank“. Dafür müssten sensible Daten an Dritte übermittelt werden. Ebenfalls muss die Funktion der Spracherkennung deaktiviert werden, denn Google bekommt die Daten übertragen und wertet dieses aus. Akismet übertrag wohl immer in die USA. Man müsste das also direkt mit die Datenschutzerklärung aufnehmen so man diesen Dienst wirklich dringend benötigt. Es stellt sich dann aber eben noch die Frage, ob die Dienstanbieter dem PrivacyShield beigetreten sind.
Denkt auch an die ganz Social-Plugins und Widgets wie Facebook, Instagram und co… Dabei werden auch immer Daten übermittelt. Inzwischen hat sich durchgesetzt, dass man eine 2-Klick-Option zur Verfügung stellt. Erst, wenn ein Nutzer den Button aktiviert, werden die Daten übermittelt. Dieses Plugin heisst „Shariff“ und unterstützt euch sehr gut dabei.
Zusammengefasst: Versucht rauszufinden, welche Plugins Daten an dritte weitergeben. Prüft, ob dass sein muss, denn Fonts, Styles und co können SEHR oft auch von eurem Server geladen werden. Vermerkt jede Datenverarbeitung in eurer Datenschutzerklärung. Verzichtet auf Weitergaben wo immer es geht! Weitergaben an Dritt-Staaten sind immer schwierig. Besonders in die USA. Da muss die Firma zwingend dem Privacy Shield (https://www.privacyshield.gov/list) angehören! Der Eintrag muss jährlich überprüft werden! Und ja: Es braucht dann wieder einen neuen AV-Vertrag.
Zuletzt bearbeitet am 03.04.2018
Dieser Artikel besteht aus mehreren Teilen.
- Part 1: Die EU-DSGVO kommt. Blogger: aufgemerkt.
- Part 2: Die EU-DSGVO kommt – Teil 1 – Generelles
- Part 3: Die EU-DSGVO kommt – Teil 2 – Die Grundprinzipien des Datenschutzes
- Part 4: Die EU-DSGVO kommt – Teil 3 – Kontaktformulare und SSL
- Part 5: Die EU-DSGVO kommt – Teil 4 – Rechte der betroffenen Person nach der EU-DSGVO
- Part 6: Die EU-DSGVO kommt – Teil 5 – Die Datenschutzerklärung
- Part 7: Die EU-DSGVO kommt – Teil 6 – Auftragsverarbeitung
- Part 8: Die EU-DSGVO kommt – Teil 7 – Datenweitergabe an Dritte.
- Part 9: Die EU-DSGVO kommt – Teil 8 – Der Datenschutzbeauftrage
- Part 10: Die EU-DSGVO kommt – Teil 9 – Das Verarbeitungsverzeichnis
- Part 11: Die EU-DSGVO kommt – Teil 10 – Zusammenfassung und Schlachtplan