F*ck you DSGVO

DSVGO – das Schreckgespenst der EU, nicht nur für aktive Onliner …

Was hat mich dieses Ungetüm unserer EU-Bürokraten mittlerweile an Zeit und Nerven gekostet. Eigentlich wurde ja mittlerweile alles schon 100mal gesagt (z.B. von Peer, Stephan, Enno, Winfried oder Heise), daher soll sich dieser Artikel nur um meine persönliche Erfahrungen als Programmierer, Blogger und Webseitenbetreiber drehen. Der Umfang dieser EU-Verordnung wird uns noch lange verfolgen, aber vorerst fehlen dutzende Gerichtsurteile bis wir halbwegs Klarheit haben. Bis dahin heisst es die Schotten zu verschließen um keine Abmahnungen zu riskieren. Und das war dann auch mein Motto meines wochenlangen Änderungsmarathons…

Back to the Steinzeit

Ich habe mir wirklich alle Mühe gegeben, meine Seiten DSGVO konform zu gestalten und durfte dabei feststellen, dass es mir dank DSGVO nicht mehr wirklich möglich ist, Seiten so zu betreiben wie man das im Jahre 2018 gerne machen würde.

Bevor ich Euch eine (sicher nicht vollständige) Liste der von mir durchgeführten Tätigkeiten präsentiere, haltet im Hinterkopf das ich „nur“ ca. 10 Webseiten betreue – und ein Großteil davon ist lediglich aus Spaß an der Freude entstanden. Die Seiten sind entstanden weil ich spezielles Hintergrundwissen teilen oder ein Hobby aus einer Sicht beleuchten wollte, welches so noch nicht existierte. Manchmal war es auch einfach als SEO Experiment angelegt oder weil ich als Programmierer eine neue Technologie ausprobieren wollte.

Bis auf eine Seite verdiene ich nicht direkt Geld damit. Nicht direkt heisst in diesem Kontext, das die Gesetzgebung diesen Blog und auch meine Agenturseite als direkte Werbung für meine Freelancer Tätigkeit auffasst – ich aber höchstens indirekt damit Geld verdiene (z.B. durch neue Kunden, aber sicher nicht durch Werbung oder Sammlung & Verkauf von Nutzerdaten). Ich sehe mich da als repräsentative Mittelschicht, denn ich tippe darauf das immer noch ein großer Teil der Domains von „Privatleuten“ oder Kleinunternehmen betrieben werden. Meine weiteren Seiten sind ausschließlich informativ und dennoch durfte ich alle diese aufwendig überarbeiten. Und ich als Programmierer habe dabei schon 1-2 graue Haare bekommen; wie mag es wohl den zehntausenden Nicht-IT’lern gehen, die ihre Webseiten anpassen mussten?

Dieser kurze Ausflug soll nur nochmal verdeutlichen wie viele Personen, Vereine, Selbstständige und Unternehmen EU-weit betroffen sind und wieviele Millionen Euros investiert werden mussten.

Gänzlich verrückt und leider auch in großen Teilen komplett am ursprünglich gut gemeinten Ansinnen vorbei werden hier gerade die Kleinen massiv benachteiligt. Wieso es in der EU keine IT Innovation und kaum erfolgreiche Startups gibt? Das fragt sich hoffentlich niemand mehr ernsthaft. Wie viele Seiten ich schon offline genommen habe wegen rechtlicher Fallstricke – das ist eine kleine Katastrophe, immerhin steckte in jeder Seite eine Menge Arbeit und Herzblut. Und ich bin nur einer von vielen…

Endless pain

Aber nun mal zu den Online-Tätigkeiten die ich, bei meinen sowieso schon „datensparsamen“ Informationsseiten, durchgeführt habe. Hierbei lasse ich explizit außen vor, was sonst noch so alles im Zuge der DSGVO gemacht werden musste – was aber nicht direkt mit Webseiten in Verbindung stand.

Die folgende Liste ist weder sortiert noch vollständig (es gibt ja sowieso keine Vorgaben was zu machen ist), ich habe daher „nur“ nach bestem Wissen und Gewissen agiert:

  • Entfernung der (bis dato) datenschutzrechtlich konformen und anonymisierten Einbindung von Google Analytics
  • Entfernung von 80% der Werbung auf allen Seiten, da diese zumindest als datenschutzrechtlich bedenklich einzustufen ist (da die Netzwerke mit Cookies arbeiten) – lediglich ein paar explizite Affiliate Links haben weiterhin Bestand
  • Nutzung von https für alle Seiten
  • Überarbeitung des Impressums
  • Überarbeitung der Datenschutzerklärung (das doch schon niemand liest)
  • Kontrolle & Deaktivierung nahezu aller Server-Logs (Fehler werden nach wie vor geloggt, aber ohne personenbezogene Merkmale)
  • Abschluß bzw. Aktualisierung von Aufragsdatenverarbeitungsverträgen mit vielen IT-Dienstleistern (wie z.B. für Server Hosting & Email etc.)
  • Deaktivierung aller Kontaktformulare & Kontaktseiten
  • Umzug aller Foto-Serien von Flickr auf den eigenen Server
  • Deaktivierung etlicher Social Media Profile und Verknüpfungen (war sowieso überfällig)
  • Wechsel des „CMS“ von Wordpress auf Jekyll bei mehr als 5 Seiten (da Jekyll statische Seiten generiert und somit definitiv KEINE Cookies verwendet)
  • Verwendung der Domain youtube-nocookie.com zur Einbindung von Videos
  • Ausbau von CDNs für Frontend Frameworks (aka. Javascript & CSS)
  • Deaktivierung einiger Wordpress Plugins (z.B. gegen Kommentarspam & das Kontaktformular)
  • Re-Konfiguration meiner Serverheader bzgl. Privacy & Sicherheit (Referrer Policy, X-Content-Type-Options, X-Frame-Options, X-XSS-Protection) – also z.B. aktive Unterbindung der Übermittlung des Referrers
  • Einbau einer „Cookie Notice“, auch wenn dies eventuell noch bis zur EU-Privacy Verordnung warten könnte
  • Erzeugung eines neuen Backups und Löschen aller alten Backups

Dazu kommt noch:

  • Migration des Contents mehrerer Webseiten auf diesen Blog,
  • Löschung von etlichen Artikeln,
  • Löschung von 5 Domains
  • … und die Schließung von 2 Foren mit tausenden von Beiträgen!

Blogkommentare sind auch ein ganz großer Spaß:

  • zunächst Entfernung jeglicher Benutzer-(Gr)Avatare
  • danach Deaktivierung der IP Adressen Speicherung bei Kommentaren
  • und dann doch Löschung aller existierender Kommentare

Zu Kommentaren gibt es natürlich auch sehr unterschiedliche Ansichten und so leid es mir um die unzähligen wertvollen  und hilfreichen Kommentare auch tut: schlußendlich habe ich auch noch alle Kommentarfunktionalitäten deaktiviert, weil mir das Risiko zu groß ist das mir jemand deswegen eine Auskunftsanfrage zuschickt.

So kann man auch sehr effektiv Zensur und freie Meinungsäußerung hintenrum unterdrücken: danke EU!

Offene Themen

Nach wie vor bin ich mir nicht sicher was ich mit Google Webfonts und Google Maps mache. Bzgl. Fonts werde ich wohl abwarten und das Risiko eingehen. Bei Maps steht mir ein Wechsel auf OSM zwar sowieso noch bevor, aber das löst das eigentlich Problem noch nicht: es werden „Daten“ weitergegeben an einen Dienst der außerhalb meines Machtbereichs agiert. Alles unschön, denn ich würde lieber ein sicheres Gefühl haben, anstatt dauernd  bangen zu müssen.

Das Thema Youtube-Embeds wird mit Sicherheit auch bald wieder die Gerichte beschäftigen, ich freue mich echt nicht drauf.

Fazit

Ist alles schlecht? Nein, natürlich nicht. Ich habe mich auch darüber gefreut, das es mir Google nun noch einfach macht meine gesamte Aktivitätenhistorie per Knopfdruck zu löschen. Bei Facebook bin ich eh schon lange nicht mehr. Auch das ich nun Newsletter noch effektiver loswerden kann und ich dutzende von Emails von irgendwelchen Datensammlern bekommen habe zwecks Einverständniserklärung zur weiteren Datennutzung war gut. Nicht nur ist es spannend zu sehen wo die eigenen Daten überall gehandelt werden (das ist als Freelancer mit der Registrierung bei Vermittlern aber auch nochmal ein ganz anderes Thema) sondern man kann nun zumindest auch mal versuchen dagegen etwas zu unternehmen.

Es gäbe noch so viel zu schreiben, aber ich belasse es mal hierbei – die Auswirkungen werden wir schleichend in den nächsten Monaten merken, wenn die aktuelle Email Welle erstmal abgeklungen ist.

Gut gemeint ist eben noch lange nicht gut gemacht. Als massiv Betroffener ist die DSGVO für mich vor allem ein herber Schlag für die IT Branche und das offene Internet – trotz ihrer teils positiven Aspekte.