EU DSGVO und e-Privacy und wie es mich als Blog betrifft, was ein Informationschaos

Vielleicht habt Ihr schon von der neuen EU DSGVO Datenschutzverordnung gehört. Falls ja werdet Ihr als Nutzer sicherlich die neuen Änderungen super finden.

Die EU holt was den Datenschutz angeht die dicke Keule heraus. Auf den ersten Blick sind viele Änderungen sicherlich sinnvoll, es dürfen nur noch notwendige Daten gesammelt werden, Tracking Skripte werden verboten usw.

Allerdings möchte ich in diesem kleinen Artikel einmal kurz beleuchten was dies für mich als Webseitenbetreiber bedeutet und warum für mich die EU DSGVO und noch schlimmer die am Horizont aufblitzende e-Privacy Richtlinie einfach nur scheiße ist.

 

DSGVO und e-Privacy

Die neue DSGVO tritt am 25. Mai in kraft und bringt viele Veränderungen mit. Hier habe ich zugegeben etwas den Überblick verloren, was ich in Zukunft alles nicht mehr darf.

Von daher nehmt meine Aussagen auch nicht ganz für bare Münze! Es gibt hier extrem viele, sehr widersprüchliche Angaben.

Beginnen wir beim Tracking. Ich nutze hier wie fast jeder Google Analytics, an welche ich die Daten anonymisiert weitergebe. Heißt, ich sehe welche Seiten Ihr wie lange besucht habt, allerdings sehe weder ich noch Google Eure IP Adresse oder ähnliches (die Daten werden halt anonymisiert).

Hier habe zwei widersprüchliche Angaben gehört, Option a:

Bisher galt hier der Opt-Out Grundsatz. Ihr kennt sicherlich die „Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu.“ Einblendung, welcher du zustimmen musst, ansonsten fliegt man von der Seite.

So wie es aussieht muss ich in der Zukunft ein Opt-in verfahren anbieten. Heißt es gibt kein Tracking, ehe Ihr nicht zustimmt.

Für den Nutzer sicherlich klasse, für mich furchtbar! Praktisch werden hier vielleicht ein paar Prozent zustimmen, der Rest fliegt unter dem Radar.

Für mich als Webseitenbetreiber ist es allerdings essenziell zu wissen wie viele Besucher meine Webseite hat und welche Artikel diese lesen.

Kurzum wenn ich mich hier an die DSGVO halte, habe ich ein Problem, ich habe keine Ahnung ob jemand meine Artikel liest.

Option b: Ich kann so weitermachen wie bisher da die Daten anonymisiert werden.

Ebenfalls problematisch sind die üblichen Facebook, Twitter usw. Button, welche so nichtmehr zulässig sind. Diese sind für mich aber weniger tragisch. Mittlerweile setzte ich hier auch auf „sichere Buttons“, danke Heise!

Problematischer ist beispielsweise das Einbinden von Youtube Videos, was ich in Zukunft nicht mehr darf! Wenn ich ein Youtube Video in meine Webseite einbinde und Ihr die Seite aufruft, erhält Youtube Daten = ist verboten.

Ähnliches gilt auch für sich automatisch aktualisierende Preisinformationen, ebenfalls so wie es aussieht verboten.

 

Gut also wir haben Google Analytics, Social Media Buttons, Youtube Videos und sich automatisch aktualisierende Preisinformationen.

Weiter geht es mit den Kommentaren. Die Kommentarfunktion wird über WordPress.com geregelt, einem US Unternehmen. Kommentare werden zwar auf meinem Server gespeichert, aber die Benachrichtigung über eine Antwort usw. läuft über WordPress.com.

Dreimal dürft Ihr raten, richtig, die Kommentarfunktion geht so in Zukunft auch nicht mehr. 

 

Auch an meiner Sicherheitsinfrastruktur muss ich Veränderungen vornehmen bzw. schwächen. Kommentare automatisch über Akismet auf Spam überprüfen? Nope dafür werden die IP Adressen der Kommentarschreiber mit einer Spam Datenbank abgeglichen.

Ach ja, in den letzten 6 Monaten hatte ich über 10.000 versuchte Spam Kommentare, welche dieses System abgefangen hat!

Meinen Schutz vor brute Force Angriffen darf ich auch aufgeben. Erneut werden hier IP Adressen, welche versuchen sich einzuloggen, mit einer Datenbank abgeglichen.

Ja es ist sicherlich suboptimal, dass hier IP Adressen weitergegeben werden, aber was soll ich machen? Im Monat 1600 Spam Kommentare per Hand durchsuchen?! Ich spiele mit dem Gedanken die Kommentarfunktion komplett abzuschalten. Leider gibt es auch keine gute Europäische alternative zu Akismet.

 

Viele dieser Dinge scheinen aber arg in der Grauzone zu sein und es wird darauf hinauslaufen, dass man so weiter macht wie bisher. Ich zweifele beispielsweise sehr daran, dass es in Zukunft nirgends mehr eingebundene Youtube Videos in Webseiten gibt.

Für mich als Webseitenbetreiber ist die DSGVO dennoch suboptimal. Ich denke nicht, dass ich meine Nutzer zu sehr „überwache“ oder ausspioniere. Auch halte ich mich sehr mit Werbung zurück, schalte keine gesponserten Artikel (an Angeboten mangelt es nicht) usw.

Noch schlimmer wird es, wenn die e-Privacy Richtlinie durchkommt. Dann kann ich im schlimmsten Fall Techtest.org dichtmachen. Die e-Privacy Richtlinie verbietet personalisierte Werbung und Affiliate Links, womit jegliche Finanzierungsmöglichkeit zerstört wird.

Dieser kleine Artikel sollte nur einmal grob die andere Seite der Medaille zeigen. Die generelle Auffassung von Nutzern zur DSGVO und der noch in der Planungsphase befindlichen e-Privacy Richtlinie ist ja positiv. Für mich als kleinen Webseitenbetreiber, welcher nicht einfach eine Paywall einführen kann, ist das Ganze allerdings vorsichtig ausgedrückt nicht gut.

Sollte ich hier irgendwas falsch aufgefasst haben bitte nicht schlagen. Die meisten Informationen zur DSGVO sind sehr wage oder betreffen mich nicht. Verbindliche Informationen bekommt man aktuell nur so wirklich über Seminare oder kostenpflichtige Beratung, welche sich aber auch nicht an Blogger richtet, sondern primär an Unternehmen.

Michael Barton

Vielen Dank fürs Lesen! Sollte mein Bericht euch geholfen haben würde ich mich über einen erneuten Besuch meiner Webseite und/oder dem Folgen meines Twitter freuen! Vielen Dank!

Andere Interessante Beiträge auf techtest.org
8 Comments
Adrian

Gründsätzlich verstehe ich diese Bedenken. Trotzdem muss ich sagen, dass ich dieses Gesetz für exrem wichtig halte. Zumal die meisten Dinge denke ich gelöst werden können. Bei YouTube Videos die man einbetten will kann man Beispielsweise einen erweiterten Datenschutzmodus aktivieren. Hier fließen erst Daten an Google wenn das Video abgespielt wird

Reply
Heiner B.

„Gut also wir haben Google Analytics, Social Media Buttons, Youtube Videos und sich automatisch aktualisierende Preisinformationen.
Weiter geht es mit den Kommentaren. […]“

Google Analytics für die Messung von Zugriffszahlen auf die jeweiligen Artikel lässt dich definitiv auch mit lokal gehosteten Tools ersetzen. Für die Social Media Buttons hast du ja bereits eine Möglichkeit gefunden. Daumen hoch dafür btw! Youtube-Videos kommen bei deinen Artikeln ja ohnehin kaum vor, diese bestehen ja i.d.R. aus Text und lokal gehosteten Bildern.
Und zu den „automatisch aktualisierenden Preisen“: Diese funktionieren bei diversen älteren Artikeln ohnehin nicht.
Um sich in einem lokal gehosteten Kommentarsystem vor Spam zu schützen, könnte man ein registrierungspflichtiges Accountsystem, bei dem Spam-Mailadressen wie 10Minutenmail ausgeschlossen sind, verwenden.

Für den DDos-Schutz gibt es mit Sicherheit auch Anbieter, die die Liste der Adressen zum Abgleich bei dir auf dem Server oder zumindestens in der EU speichern.

zur Werbung:
Ich weiß nicht, ob deine Werbung lokal gehostet wird oder über ein Netzwerk wie Google-Ads, da ich immer mit Adblocker unterwegs bin (zur Unterstützung kaufe ich stattdessen lieber ab und zu etwas über die Affiliate Links), aber gerade größere Werbe-Netzwerke waren immer wieder in den Schlagzeilen, weil über sie Maleware verteilt wurde.

Falls dir das alles zu aufwändig ist, wäre die einfachste Möglichkeit, beim Aufrufen der Seite ein fettes Pop-Up einzublenden, auf dem in etwa steht: „Beim Benutzen (allem, was über das Lesen dieser Mitteilung hinaus geht) dieser Website erklären Sie sich mit der Weitergabe Ihrer personenbezogenen Daten an WordPress, Google, [den DDos-Schutz], [den Kommentar-Filter], Facebook, etc. etc. einverstanden. Wenn sie damit nicht einverstanden sind, klicken Sie bitte auf „Seite verlassen“ oder schließen Sie den Tab.“

„Für mich als Webseitenbetreiber ist die DSGVO dennoch suboptimal. Ich denke nicht, dass ich meine Nutzer zu sehr „überwache“ oder ausspioniere. Auch halte ich mich sehr mit Werbung zurück, schalte keine gesponserten Artikel (an Angeboten mangelt es nicht) usw.“
Das mag sein, du überwachst deine Besucher nicht, aber du unterstützt halt andere Akteure (wenn auch nicht vorsätzlich) dabei. Das beste Beispiel dafür sind die „Social“-Media-Buttons, die überall eingeblendet werden. Über diese können Facebook und Google ein sehr präzises Surf- und damit Interessenprofil von mir erstellen, ohne dass ich deren Dienste überhaupt benutze. Und auf den Seiten, auf denen kein G+ Button ist, oder so wie hier die Datenschutzfreundlicheren, läuft Google-Analytics im Hintergrund. Vor diesem massiven Tracking kann ich mich nur mit NoScript und Adblock schützen und selbst das nicht zuverlässig (zB. bzgl. der IP-Adresse).

„Viele dieser Dinge scheinen aber arg in der Grauzone zu sein und es wird darauf hinauslaufen, dass man so weiter macht wie bisher.“
So sieht es aus. Vermutlich werden die entscheidenden Punkte durch das Lobbying in Brüssel vor Verabschiedung herausgestrichen und es bleibt at the end doch alles beim Alten.

Und zur Finanzierung: Sollte es entgegen aller realistischen Erwartungen doch so kommen, dass (personenbezogene) Werbung und Afilliate-Links verboten werden, wäre evtl. eine Crowd-Funding-Finanzierung (also spendenbasiert) denkbar. Das würde aufgrund der finanziellen Unabhängigkeit (sprich: der Mögichkeit, sich die Dinge, die dir die Hersteller bisher „freundlicherweise zur Verfügung gestellt“ haben, selbst zu kaufen) auch kritischere Tests / Bewertungen selbiger ermöglichen.

Lieber Grüße
Heiner

PS: Einen kühlen Kopf bewahren, es gibt für alles eine Lösung.

Reply
Michael Barton

Hi,

das Problem bei den Selbstgehosteten Analytics Tools ist das diese nicht gut zählen. Klingt blöd, aber ich habe aktuell eins Testweise laufen (WP Statistics). Dies gibt mir einfach mal gut 1/3 höhere Werte als Google Analytics. Zwar sind höhere Werte immer nett, aber ich glaube hier werden irgendwelche DDOS, Bots usw. mitgezählt welche Google gekonnt ignoriert.

„Für den DDos-Schutz gibt es mit Sicherheit auch Anbieter, die die Liste der Adressen zum Abgleich bei dir auf dem Server oder zumindestens in der EU speichern.“
Das Problem ist das viele dieser Anbieter extrem teuer sind! Diese richten sich nicht an einen Blogger mit 200K Seitenaufrufe sondern an große unternehmen wo man halt auch mal 300€+ pro Monat fürs kleinste Paket verlangen kann. Ähnliches gilt auch für „gute“ Analytics Anbieter. Wenn ich mir eine 1000€ im Monat Infrastruktur zulegen möchte geht sicherlich alles, aber das ist keine Option.

Ein registrierungspflichtiges Accountsystem wäre für die Kommentare sicherlich eine Lösung, schreckt aber viele Nutzer ab die nur mal kurz etwas nachfragen wollen. Rund 60% aller Nutzer die hier einen Kommentar schreiben nehmen eh einen Adresse nach dem Motto „mail@mail.de“ oder ähnlichem.

Die Crowd-Funding-Finanzierung kann funktionieren, aber nicht bei mir. Ich bin für so etwas zu klein und es gibt schon gefühlt hunderte die um Nutzer betteln „bitte unterstützt mich auf patreon“. In Zukunft wird dies noch mehr werden.

Anstelle von Werbung hat man dann X Banner die einen um Geld anbetteln ;) Auf so etwas möchte ich auch verzichten.

Ja ich nutze Werbung via Google Adsense, leider gibt es nicht viele Alternativen dazu. Die meisten großen Werbenetzwerke verlangen „flächendeckende“ Werbung, so auffällig wie möglich, oder es gibt nur eine Bezahlung wenn du etwas auf der angeklickten Webseite kaufst. Google Adsense erlaubt es relativ dezente Banner zu schalten ohne direkt die komplette Webseite vollzukleistern.

Ich würde hier auch gerne etwas anderes nutzen (letztes Jahr gab es zwischenzeitlich wirklich Probleme mit ausgelieferten Viren via Google Adsense, in der Zeit hatte ich für 2 Monate Werbung komplett abgeschaltet).

Ich habe halt bei der DSGVO das Gefühl die großen kommen letztendlich besser weg als die kleinen.

Reply
Heiner B.

„Das Problem ist das viele dieser Anbieter extrem teuer sind! Diese richten sich nicht an einen Blogger mit 200K Seitenaufrufe sondern an große unternehmen wo man halt auch mal 300€+ pro Monat fürs kleinste Paket verlangen kann. Ähnliches gilt auch für “gute” Analytics Anbieter. Wenn ich mir eine 1000€ im Monat Infrastruktur zulegen möchte geht sicherlich alles, aber das ist keine Option.“
Okay, das ist heftig, hätte ich nicht gedacht. Das oben war erstmal meine Einschätzung, aber die ist halt theoretisch, ich habe keine Website.

„Ja ich nutze Werbung via Google Adsense, leider gibt es nicht viele Alternativen dazu.“
Ich muss bei sowas immer an Merkel denken und „alternativlos“ :D

„(letztes Jahr gab es zwischenzeitlich wirklich Probleme mit ausgelieferten Viren via Google Adsense, in der Zeit hatte ich für 2 Monate Werbung komplett abgeschaltet).“
Immerhin, das spricht sehr für dich.

„Ich habe halt bei der DSGVO das Gefühl die großen kommen letztendlich besser weg als die kleinen.“
Das halte ich angesichts unserer Lobbykratie auf EU-Ebene auch für gar nicht mal so unwahrscheinlich. Seiten von dieser Größe haben halt i.d.R. keine Interessenvertreter.
Ich hoffe trotzdem für dich (und uns Leser), dass es da Mittel und Wege geben wird, den Betrieb der Seite aufrecht zu erhalten.

Liebe Grüße
Heiner

Reply
Michael Barton

Solche Anti-Spam / DDOS / brute force Schutzsysteme richten sich halt an große Unternehmen. Bei solchen Seiten findet man meist nicht mal Preise, nur auf Anfrage und du kannst dir ja denken was das heißt.

Bei Werbung dominiert Google Adsense nunmal den Markt. Es gibt keine oder keine guten Alternativen wo ich nicht gleich meine gesamte Webseite freigeben muss. Contaxe findet man oft als Google Adsense alternative, aber schau dir mal die Webseite an:
https://www.contaxe.com/de/texte/wpcontaxe

Das WordPress Plugin wurde zuletzt am „2012-04-15“ geupdatet. Das muss nichts heißen, zeigt mir aber das hier nicht mehr viel läuft. Die großen Werbenetzwerke wollen (soweit ich das weiß) direkt die komplette Webseite vermarkten und nicht nur 3 kleine Banner. Hier müsste ich dann meinem Webseitenhintergrund usw. für Kampagnen zur Verfügung stellen.

eBay hat auch ein Werbe System, welches „relevante“ Anzeigen schaltet, auf gut deutsch auch den Nutzer überwacht = nix gewonnen.

„Das halte ich angesichts unserer Lobbykratie auf EU-Ebene auch für gar nicht mal so unwahrscheinlich. Seiten von dieser Größe haben halt i.d.R. keine Interessenvertreter.“
Grundsätzlich habe ich natürlich auch etwas von diesen Lobby Vertretern ;) Das entscheidende ist für mich eher das ich im Gegensatz zu Bild, Spiegel usw. nicht einfach eine Paywall schalten kann oder wie Computerbase, Golem usw. ein „Plus“ Account System.

Anstelle mit diesen Gesetzen die großen, Google, Facebook, Microsoft usw. zu treffen erwischt es die kleinen oder kleineren.

Das wird nun durchgedrückt http://www.haz.de/Nachrichten/Wirtschaft/Niedersachsen/Telekom-Vodafone-und-O2-wollen-Passwoerter-mit-Mobile-Connect-ueberfluessig-machen
Es werden „multilogin“ Systeme gebaut. Meldest du dich dort einmal an, wirst du automatisch an allen teilnehmenden Webseiten eingeloggt. In den AGBs steht dann drin das du mit allem Tracking usw. einverstanden bist.

So wird dann diese Erlaubnis an alle teilnehmenden Webseiten weitergegeben, ohne nervige Meldungen die der Nutzer erst wegklicken muss. Hier ist auch der Axel Springer Verlag und noch ein paar große an einem Anbieter (unter anderem Namen natürlich) am arbeiten.
http://meedia.de/2017/05/11/generalschluessel-fuers-web-was-axel-springer-co-mit-dem-megaprojekt-dipp-wirklich-bezwecken/

Als kleiner Webseitenbetreiber wird man sicherlich keinen Zugriff auf solche Systeme haben (welche ich auch nicht gut heiße). Anstelle das es besser wird, wird es jetzt noch nerviger für den Nutzer, da einem versucht wird irgendwann diesen „Generalschlüssel“ aufzuzwingen. Solltest du so etwas bei großen Webseiten in Zukunft sehen weißt du nun was dahinter steht.

Reply
Heiner B.

„Als kleiner Webseitenbetreiber wird man sicherlich keinen Zugriff auf solche Systeme haben (welche ich auch nicht gut heiße). Anstelle das es besser wird, wird es jetzt noch nerviger für den Nutzer, da einem versucht wird irgendwann diesen “Generalschlüssel” aufzuzwingen. Solltest du so etwas bei großen Webseiten in Zukunft sehen weißt du nun was dahinter steht.“
Ich habe von diesem Projekt auch schon gelesen, da läuft es einem kalt den Rücken runter. Ich persönlich halte mich da durchaus für informiert genug und würde mir dort keinen Account erstellen bzw. die Seiten, die nur noch dieses System anbieten, boykottieren, aber der Großteil der Nutzer bekommt sowas halt nicht mit und nutzt es trotzdem.

Liebe Grüße
Heiner

Reply
Ben

„Auch an meiner Sicherheitsinfrastruktur muss ich Veränderungen vornehmen bzw. schwächen. Kommentare automatisch über Akismet auf Spam überprüfen? Nope dafür werden die IP Adressen der Kommentarschreiber mit einer Spam Datenbank abgeglichen.“

Für dich könnte Art. 6 der DSGVO (https://dsgvo-gesetz.de/art-6-dsgvo/) interessant sein. In (1) f) heißt es, dass die Verarbeitung rechtmäßig sei, wenn berechtigtes Interesse des Verantwortlichen bestünde. Der Schutz deiner Webseite ist ein solches berechtigtes Interesse. Dazu kommt, dass Akismet ein Dienst von Automattic ist und Automattic nimmt am US-EU Privacy Shield Abkommen teil (https://www.privacyshield.gov/list) – hat sich also dem europäischen Datenschutz verpflichtet.

Reply

Kommentar verfassen

This site uses Akismet to reduce spam. Learn how your comment data is processed.