Datenschutz

Als privates Blog ohne jede Gewinnerzielungabsicht oder auch nur Spendenmöglichkeit, ohne Werbung und ohne die Möglichkeit, sich als Leser zu registrieren, scheint mir Schlabonskis Welt von der kommenden Datenschutzgrundverordnung eigentlich nicht betroffen zu sein.  Dennoch möchte ich mich gern dran halten und dokumentiere hier nach bestem Wissen und Gewissen, was es dazu zu sagen gibt.

Ich bin da aber kein Experte und freue mich über jede Ergänzung oder Korrektur!

Was gespeichert wird

Beim Lesen: nichts.

Aber keine Regel ohne Ausnahme: der Creative-Commons-Böppel unten im Footer setzt einen Cookie.  Das scheint aber so in Ordnung zu sein, zumindest findet der Cookiebot daran nichts auszusetzen (hier dessen Compliance-Report als PDF).

Beim Kommentieren: noch mehr als mir lieb ist.

Das ist noch ein work in progess.  Soweit ich es bis jetzt erforscht habe, speichert diese Seite:

  • den Inhalt der von Dir ausgefüllten Felder (ach was)
  • Deine IP-Adresse (wird demnächst abgeschaltet)

Dazu bittet sie um Dein Einverständnis:

  • zur Speicherung und Verarbeitung dieser Daten
  • zur Übertragung dieser Daten zum Server des Anti-Spam-Plugins Akismet in den USA.  Das schmeckt mir zwar auch nicht, aber händisches Kommentarspam-Jagen ist für mich keine Option — da würde ich eher die Kommentare ganz deaktivieren, und das will ich nicht.

Was es hier noch nie gab

  • Einbindung von Social-Media-Share-Buttons von anderen Seiten (die hier mal vorhanden gewesenen Twitter-Böppel waren ganz normale Links zu Twitter mit selbstgehostetem Vogelbildchen, d.h. erst beim Draufklicken hat Twitter davon was bemerkt; inzwischen sind aber auch die wieder weg)
  • Google Search o.ä.
  • Google Analytics o.ä.
  • Werbung irgendwelcher Art
  • Affiliate-Links mit einer Ausnahme: der zu meinem Provider

Was sonst schon getan ist

  • Aktivierung von SSL (https-Protokoll) und Umstellung auch aller internen Links
  • Abfrage-Checkboxen zum Einverständnis der Datenspeicherung und zur Übertragung zu Akismet

Was noch zu tun ist

  • Speichern von IP-Adressen bei Kommentaren abschalten und schon gespeicherte löschen
  • Kucken, ob man Akismet nicht durch was weniger Datenschutzbedenkliches ersetzen kann (Vorschläge willkommen)
  • Plugins ausmisten
  • SSL erzwingen (mehr dazu, Online-Check)
  • CAA gewährleisten (mehr dazu)
  • Referrer nicht leaken:
    A referrer policy can easily be set with a <meta> element in your HTML. Simply include this inside the <head> section:<meta name="referrer" content="no-referrer">
  • Restliche Ladeaufrufe zu Google Fonts und zu externen Emoji-Bibliotheken finden und eliminieren
  • Noch ein paar Header setzen:
    • X-Content-Type-Options: nosniff
    • X-Frame-Options: deny

    • X-XSS-Protection: 1; mode=block
    • Strict-Transport-Security: max-age=31536000; includeSubDomains
  • Konforme Datenschutzerklärung bauen (auch wenn ich nicht muß: sicher ist sicher) (zum Generator, noch einer)

Da fehlt sehr wahrscheinlich noch so einiges, was ich noch nicht verstanden habe.  Hier ist der Check von Webbkoll, und hier sind noch ein paar Todo-Listen von anderen Leuten zum Abkucken.

Und wie gesagt: Ich freue mich über Korrekturen und weitere Vorschläge, gern per Mail!