Datenschutzerklärung - DSGVO-Bums

matthew-henry-87142-unsplash.jpg

Nach vielen Stunden habe ich meine Seite nun endlich DSGVO / GDPR "konform" gemacht und möchte euch davon berichten. Um das ganze Thema wurde so eine Panik gemacht, dass ich selbst nach nur wenigem Lesen / einarbeiten keine Lust darauf hatte und es vor mich hergeschoben habe. Dabei ist die Datenschutz-Grundverordnung eigentlich eine gar nicht so schlechte Sache, bloß wenn alle ganz panisch werden, es einen undurchdringbaren Gesetzesdschungel gibt bei knapper werdender Zeit immer mehr „Lücken“ (aber auch Tools) zum Vorschein kommen / Gesetze neu interpretiert werden und dann noch der Gesetzgeber anfangen will das Gesetz umzuändern … Naja, lassen wir das.

Ich hoffe soweit die Verordnung umgesetzt zu haben und mein „Angebot“ im Sinne eines sorgfältigen Datenschutzes gestaltet zu haben. Aber folgt mir doch auf der Reise:

  • Alles fing klassisch damit an, dass ich von der DSGVO hörte und dass diese bald umgesetzt werden muss
  • Mein Anbieter, Squarespace, hat von der DSGVO noch nichts gehört, aber überlegt sich „bald“ was. (Meine Anfrage stellte ich am 14.03 und Squarespace posaunte Anfang Mai, dass sie was zum 14.05 bereit haben wollten – daraus wurde eher kurz vor knapp)
  • Ich scannte das Web nach Links und wurde überflutet, wie man denn was als Webseitenbetreiber zu tun hätte
  • Panik für Fotografen
  • Ich finde heraus, dass bei meiner Webseite viele „unnötige“ Schriften geladen werden. Der Style-Editor von Squarespace ist bei den Lösungsversuchen keine Hilfe.
  • Ich scannte meine Webseite und stellte fest, dass der Facebook Pixel, Irgendwas von LinkedIn und das Pinterest Widget eingebettet wurden, obwohl ich das weder aktiviert, noch sonst-was gemacht habe. Squarespace antwortete mir nach Wochen und einem Push wie folgt:
Wir hatten diese Anfrage an unser Trust & Safety Team weitergeleitet und auch unsere Entwickler haben sich dies angesehen, allerdings kann das Laden dieser Scripts nicht verhindert werden da dies darauf basiert wie die Platform aufgebaut ist. Dies ist auch der Fall wenn diese Anbieter nicht verwendet werden, dementsprechend ist die Verwendung des Script nicht gleichbedeutend mit der Verwendung des Service.
Dies wurde auch von unseren Entwicklern als Feedback weitergeleitet, allerdings haben wir derzeit keine Möglichkeit dieses Verhalten von unserer Seite zu verhindern.
Was Sie tun könnten wäre den Code Ihrer Seite anzupassen, allerdings können wir nicht sagen welche spezifischen Änderungen dafür notwendig wären da wir diese Modifikationen nicht selbst unterstützen.

GENIAL!!1!11

Fazit?

  • Datenschutz und -sparsamkeit ist immer was Gutes - überlegt euch mal, was Facebook mit all den Daten eines ganzen Lebens (euers) machen könnte
  • Es gab komplette Panik zwischen Fotografen - unnötigerweise
  • Leute mit Halbwissen, die auf andere mit Halbwissen treffen... ein gackernder Hühnerhaufen. Dieser Rant spricht mir aus der Seele: Mein erster DSGVO Rant
    • Endlich gilt der Grundsatz der Verhältnismäßigkeit.
    • Gewisse Gesetze des einzelnen Landes gelten und Rahmen das DSGVO ein, wie zum Beispiel das Kunsturhebergesetz (damit ist die Fotografenpanik unnötig)
arvin-febry-167435-unsplash.jpg

Ergebnis

Nun, mit meiner Arbeit kam ich zu folgendem, laienhaftem Ergebnis (Stand 28.05.2018):

  • Squarespace nutzt schon seit Ende 2016 HTTPS / SSL: We are securing millions of websites with SSL
  • Die Schriften konnte ich einigermaßen reduzieren, es ändert aber nichts daran, dass Typekit und Google Fonts genutzt werden
    • Google Fonts werden dabei von gstatic.com ausgeliefert und Übertragen Informationen über die Sprache und die IP-Adresse*
      • Google Fonts logs records of the CSS and the font file requests, and access to this data is kept secure. Aggregate usage numbers track how popular font families are, and are published on our analytics page. We use data from Google’s web crawler to detect which websites use Google fonts. This data is published and accessible in the Google Fonts BigQuery database. To learn more about the information Google collects and how it is used and secured, see Google's Privacy Policy.
    • Typekit von Adobe (typekit.com) überträgt Sprache, User-Agent (Browser, Betriebssystem) und die IP-Adresse* - Datenschutzerklärung
  • Folgende Skripte werden von mir extern eingebunden:
    • jquery min via googleapis.com ist für die Panorama-Funktion notwendig. Es werden Sprache, User-Agent (Browser, Betriebssystem) und IP-Adresse* übertragen
    • jquery Panorama Skript via cloudflare CDN ist ebenfalls für die Panorama-Funktion notwendig. Es werden Sprache, User-Agent (Browser, Betriebssystem) und IP-Adresse* übertragen
  • Bei dem "Spaß" von Squarespace können folgende "Dienste" eingebunden werden:
    • LinkedIn "Share" überträgt Sprache, User-Agent (Browser, Betriebssystem) und IP-Adresse*
    • Pinterst Widget überträgt Sprache, User-Agent (Browser, Betriebssystem) und IP-Adresse*
    • Facebook Graph überträgt Sprache, User-Agent (Browser, Betriebssystem) und IP-Adresse*
  • Die Analytics Funktionen von Squarespace habe ich reduziert, so dass weitere Cookies nur bei Bestätigung des Cookie-Banners gesetzt werden. Einzelne Aktivitäten können jetzt nicht mehr verfolgt werden. Eine ausführliche Beschreibung, was Squarespace Analytics / Statistiken kann steht im Support
  • Ich habe versucht alle eingebetteten Youtube-Videos durch eine Datenschutz konformere Lösung zu ersetzten (youtube-nocookie.com). Vimeo und Soundcloud bieten hierfür keine angepassten Tools an.
  • Ich habe einen Auftragsverarbeitungsvertrag mit Squarespace (Webseite, Domain) und Zoho (E-Mail) geschlossen. In wie weit das nötig ist, bezweifle ich seit dem DSGVO Rant
  • Ich habe mein Impressum, meine Datenschutzerklärung und mein Cookie-Hinweis überarbeitet
  • Ich habe die Kommentarfunktion deaktiviert, da bei Squarespace kein Opt-In verfahren möglich ist. Vielleicht kommt das ja noch, daher die Möglichkeiten einen Kommentar registriert da zu lassen:
    • Squarespace Login: Name, E-Mail, Passwort und IP-Adresse* werden gespeichert
    • Facebook: Öffentliches Profil mit Name, Profil Bild und weitere öffentliche Informationen, IP-Adresse. App Terms of Service und Privacy Policy sind die von Squarespace
    • Google: Google Konto, IP-Adresse*
    • Twitter: Squarespace sieht die Tweets von der Timeline, wem man folgt und die angegebene E-Mail-Adresse

* Die IP-Adresse scheint jetzt auch zu den persönlichen Daten zu zählen. Die Ironie ist, dass diese zwingend notwendig ist, da sonst keine Daten an euch gesendet werden können. Es ist wie mit der Adresse: Ohne kann nichts zu euch kommen, erst durch die Summe der Lieferungen ist ein persönliches Profil möglich.

Am Ende gilt meine Datenschutzerklärung als ordentliche Version, das hier stellt nur eine übersichtlichere Zusammenfassung dar, die ich als Laie erstellt habe. Durch die DSGVO musste auch ich mich damit beschäftigen, welche Daten hier eigentlich erhoben werden, was etwas gutes ist. Mein Interesse liegt dennoch daran meine Bilder und Texte hier zu präsentieren und durch die Affiliate-Links zu Amazon etwas von den Kosten wieder zu bekommen und nicht an irgendeinem Datenhandel.

Die Bilder stammen von UnsplashMatthew Henry und Arvin Febry