DS-GVO betrifft so gut wie jeden

    Über Cookies hat der Nutzer in seinem eigenen Browser ja überhaupt keine Kontrolle! Absolut richtig, dass da endlich noch mehr gemacht wird!!!!1111elf


    :sleeping:

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    So, nach ein paar Tagen lesen bin ich wohl nun etwas schlauer (hoffentlich). Inzwischen habe ich auch noch nette Datenschutzerklärungen von einem Anwalt bekommen. Schön das auch ein Kunde mitarbeitet.

    Aktuell geht es halt nur um meinen rein privaten Blog und meine Galerie:

    Kommentare im Blog müssen alle freigeschaltet werden, dafür speichere ich keine IP. Es kommt noch der Haken. Hier ist aber noch die Überlegung, ob ich die IP nachträglich per Cron entferne (nach Freischaltung z.b.), dies auch so den Leuten mitteile und rechtswidrige Kommentare aber ggf. nachverfolgen kann

    Bei der Galerie wird das wohl das gleiche werden. Kommentare werden auch freigeschaltet (aktuell ist dies garnicht möglich). Bei der Bewertungsfunktion muss ich das noch überprüfen. Das gleiche auch bei der History. Da werde ich ggf. (auf Basis der lokalen Analyse, Art 6.1 a-f müsste hier greifen) die Daten nachträglich löschen/anonymisieren (ggf. durch einen Hash).

    Cookies werden nur für die Session eingesetzt und sind nach Beendigung dieser ungültig (somit auch für die Funktion relevant). Diese werden nicht zum Tracking genutzt.

    AWStats ist eh nur lokal und bekommt nur anonymisierte Daten vorgesetzt (wobei das hier wohl auch erlaubt ist, was ich bei vielen Anwaltsseiten gelesen habe). Datenübermittlung an dritte erfolgt hier nicht.

    Die Kunden werden über die Anonymisierung informiert. Bzgl. deren Installation und Datenerhebung (WP usw.) kann ich denen halt nur Tipps geben. Beim AV Vertrag werde ich Daten wir Biometrische Merkmale ausschließen.

    Ich denke somit sollte ich nun bereit sein für den 25. Mal schauen was alles passiert.

    Habt Ihr den hier schon gesehen?



    Zitat

    Block EU users from accessing your site

    Don't spend thousands on legal fees to make your site GDPR-compliant. If you aren't targeting EU users, simply use GDPR Shield to block all traffic from the EU

    Ist aus meiner Sicht absolut nachvollziehbar, wenn man keine EU-Nutzer hat. Man sieht ja hier, was das ganze für Maßnahmen mit sich bringt...


    Aber gerade hier sieht man, was die DSVGO eigentlich macht... Natürlich hilft sie weiter und ich finde es gut, dass ich nun auch bei Instagram und co meine Userdaten downloaden kann, aber auf der anderen Seite kann es meiner Ansicht nach auch nicht sein, dass man beim Aufsetzen eines simplen WP Blogs Angst um rechtliche Folgeb haben muss, sofern man nicht x Stunden in die dsvgo investiert um am Ende auch nicht sehr viel schlauer darüber zu sein...

    Auf meinem Blog hab ich gestern so ziemlich viel gemacht. Zumindest gibts jetzt keine cookies, keine externen Services... nix mehr. Eben auch keinen Twitter-Feed usw. (Auch keine Google-Fonts mehr). Seis drum.

    Ist es nicht irgendwie möglich, auch Twitterfeeds und co. anderweitig zu beschaffen? Bspw. durch einen zweiten Webserver, der als proxy fungiert?

    Dann wäre jedoch Interaktion wieder ein Problem, wobei ich nicht weiß, inwieweit man das unterbinden oder in einen neuen Tab auf der twitter Website umsetzen kann.

    Das ist bestimmt irgendwie machbar, war mir jetzt auf die Schnelle aber erstmal zu aufwändig. Vielleicht gibts ja irgendwann mal ein hübsches Plugin. Interaktion muss ja nicht direkt daraus erfolgen. Man könnte ja auf das eigene Twitterprofil verlinken mit ner zwischengeschalteten Hinweisseite.

    Sogar Jetpack ist erstmal deaktiviert. Das wurde eh immer schlechter.

    Ok. Bei meiner Galerie kann man das Menü ausblenden und das wird als Session Cookie abgelegt. Diese werden aber auch nach Beendigung der Session gelöscht.

    Beim Blog lasse ich zwar Userlogins zu (außer halt 2 Autoren).

    Was ich mich bei Schriften und Bootstrap Frage ob es vielleicht Sinn macht, die Anfragen alle über einen Proxy zu schicken (ein zweiter Root ist ja vorhanden) und hier die Anfragen durch den Squid zu anonymisieren. Wenn dieser dann auch nicht loggt und nur für deinen eigenen Server freigeschaltet ist, sollte man so bootstrap usw. einbinden können.

    Welches Plugin nimmst du bei WP? Da ist fast keine Plugins einsetze (und die par Kommentrare moderiere) habe ich die IP über das child-theme und functions.php entfernt.

    Für Kommentrare gibt es im Eng. Forum ein Codeschnippsel. Die sind aber auch schon selber dabei. Die sind ja auch davon betroffen.

    Für AWStats hatte ich bei ISPConfig halt was gefunden. Die Woche habe ich dann mal Zeit alle Scripte usw. auf den Testserver auszuprobieren.

    Akismet hatte ich auch nie aktiv. Ich nutze Antispam Bee mit den richtigen Einstellungen (hab irgendw bzgl. dessen noch einen Artikel offen). Ich hatte noch Counter per Day aktiv, hab das aber auch entfernt. Der Testlink von dir zeigt bei mir auch nur noch Referrs an. Keine Kekse und auch keine externen Verlinkungen. Emoijs hatte ich auch schon vorher deaktiviert. Dafür suche ich noch einen Ersatz. Ich habe aber gern meine eigenen Zugriffstatistiken. Da findet sich bestimmt auch noch etwas.

    Dann werde ich wohl mal meine Logrotation anpassen müssen (ISPConfig selber hält ja eh nur 30 Tage vor) und nach 14 Tagen die IPs aus dem Apachelog entfernen. Dann bin ich von meiner Seite aus durch. Wie das dann mit den Seiten der Kunden ist muss ich halt schauen.

    die referrers habe ich mit einem weiteren Plugin entfernt, da Wordpress leider die Header, die nginx setzt, gerne überschreibt:

    "Head, Footer and Post Injections" kann Header für jede Unterseite setzen, so dass die referrer dann auch raus sind. Mit Autoptimize unterbinde ich dann noch die google-fonts. Cache geleert und schon siehts gut aus :)