Datenschutz und Tracking – was ich auf diesem Blog nicht mache
Dieser Blog hat kein Google Analytics. Kein Facebook Pixel. Keinen Hotjar, kein Matomo, kein Heap, kein sonstiges Tool das Nutzerverhalten aufzeichnet. Und einen Cookie-Banner gibt es auch nicht – weil es keine Cookies gibt die der Erlaubnis bedürften.
Warum nicht
Zwei Gründe. Erstens: ich brauche es nicht. Das hier ist ein persönlicher Blog, kein Geschäft. Ich muss nicht wissen wie viele Nutzer auf Seite X verbringen, wie hoch die Bounce Rate ist oder wie der Conversion-Funnel aussieht. Es gibt nichts zu konvertieren.
Zweitens: ich find's respektvoller. Wer hierher kommt um einen Beitrag zu lesen, will das tun ohne dass jemand mitschreibt was er danach anklickt. Das ist eine Entscheidung, keine technische Einschränkung.
Was ich stattdessen mache
Serverside-Logs. Nginx schreibt Access-Logs mit IP, User-Agent, Requested URL und HTTP-Status. Diese Logs werden täglich rotiert und nach 7 Tagen gelöscht. Ich schaue sie ab und zu an um zu sehen welche Seiten häufig aufgerufen werden und ob irgendwas 404 wirft. IPs werden dabei nicht dauerhaft gespeichert.
Das reicht für das was ich wissen muss. Welche Beiträge werden gefunden, welche Seiten haben Fehler, gibt es auffälligen Bot-Traffic. Mehr brauche ich nicht.
DSGVO-Hinweis
Ich bin kein Anwalt und das ist keine Rechtsberatung. Serverside-Logs sind unter DSGVO in der Regel mit einem entsprechenden Datenschutzhinweis vereinbar, weil sie ein berechtigtes Interesse darstellen (Betrieb und Sicherheit des Servers). Wer auf der sicheren Seite sein will, sollte IPs vor der Speicherung kürzen. Das kann nginx mit einem entsprechenden log_format machen.
← zurück zu Security 📂 Archiv