DSGVO – Hands on

nitramred · 2018-04-23T16:03:13.252Z

Hier im Sendegate wird fleißig schon über die DSGVO diskutiert und was das für uns als (unabhängige) Podcaster:innen bedeuten könnte (1,2).

Ich möchte hier nicht alle Links noch einmal wiederholen, sondern meinen Weg zu einer Lösung für mich dokumentieren (auch für später mal). Ergänzungen sind gerne gesehen. Und ganz wichtig: Das ist keine Rechtsempfehlung oder -beratung! Alles, was ich hier schreibe, ist hoffentlich gut durchdacht und recherchiert – mehr nicht

Nachdem ich wie gesagt alle Quellen, Podcasts und Links, die hier im Forum auch schon aufgetaucht sind, gesichtet habe, habe ich meine Podcast-Site unter DSGVO-Gesichtspunkten bearbeitet.

HTTPS
Zunächst habe ich die Podcast-Website auf https umgestellt. Das stand sowieso schon länger auf der Liste. Nicht unwesentlich im Hinblick darauf, dass Daten (sollten sie denn anfallen) sicher und verschlüsselt übertragen werden. Zudem ist das im Jahr 2018 einfach guter Stil und macht das Web sicherer und besser. Gefolgt bin ich dabei der Anleitung von @kieliscalling und @Loewe88 aus ihrem Vortrag auf der Subscribe 9.

Hosting
Ich hoste bei Uberspace (Podcast-Blog) und Podseed (Files). Beide Hoster habe ich angeschrieben und nach deren Prozessen befragt.

Uberspace selbst loggt für die dort gehosteten Sites Zugriffe mittels Webalizer. Auf den dortigen Datenschutz-Seiten wird unter „DIE UBERSPACE.DE-WEBSITE“ auf die Log-Gewohnheiten von Webalizer referenziert. Ich bin gerade noch in Klärung ob die Webalizer-Einstellungen auch auf alle bei Uberspace gehosteten Seiten zutreffen. Falls ja, sind sie auf jeden Fall sehr datenschutzfreundlich, da gut anonymisiert wird.

Von Podseed habe ich noch keine Antwort erhalten – weiß @Toby hier mehr?

Statistiken
Hierfür nutze ich Matomo (ehemals Piwik) und habe es anhand der empfohlenen Maßnahmen des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) konfiguriert – in diesem PDF (https://www.datenschutzzentrum.de/uploads/projekte/verbraucherdatenschutz/20110315-webanalyse-piwik.pdf) könnt ihr die Details noch einmal nachlesen. Im Prinzip maskiere ich einfach die IP-Adressen der Besucher und mache sie somit nicht nachvollziehbar – habe aber dennoch Zugriffszahlen. Oder wie @dirkprimbs schreibt:

EU-DSGVO für PodcasterInnen

Um Statistiken für die Webseite zu erfassen könntest Du Dir einfach eine Piwik Installation zulegen und die Anonymisierung einschalten. Dann leitest Du die Daten nicht an Dritte, Du anonymisierst und kannst wieder entspannt durchatmen.

Aber wie gesagt: Piwik heißt jetzt Matomo. Sonst alles korrekt!

Kommentare
Dasselbe mache ich mit meinen Kommentaren anhand dieser Anleitung von den WP Ninjas: IP-Adressen neuer Kommentare werden direkt maskiert, für die alten habe ich aus der Datenbank die IP-Adressen gelöscht. Außerdem habe ich Akismet deaktiviert. Außerdem habe ich in Wordpress eingestellt, dass keinerlei Daten zum Kommentieren erforderlich sind: Einstellungen_›Diskussion‹Staatsbürgerkunde—_WordPress

Podlove
Hier warten wir ja noch auf Antwort, bis dahin nehme ich diese Aussage von @timpritlove

DSGVO und Podlove

Der Podlove Publisher speichert die IP-Adressen nicht, sondern nur einen anonymisierten Hash. Das CDN speichert überhaupt keine Daten.

und @zusatzstoff

DSGVO und Podlove

Also, bei allen Share Buttons handelt es sich um einfache links. Wir nutzen keinen Code von anderen Plattformen sondern übergeben nur Metadaten der Podcast Episode. Bedeutet das kein Tracking durch das Embedden des Players auf anderen Seiten erfolgt.

Falls hier doch noch ein finaler Text entsteht, würde ich mich freuen.

Contributors
Von den Mitwirkenden an der Sendung habe ich natürlich vorab gefragt ob und welche Daten und Bilder bei der Folge erscheinen dürfen.

Gravatar-Bilder
tbd

Social Links
Auch hier halte ich es mit @dirkprimbs:

EU-DSGVO für PodcasterInnen

Anders sieht es da schon mit Diensten wie Google Analytics, dem Wordpress Jetpack Plugin oder Social Sharing Buttons aus. Die geben by design Daten an Dritte weiter. Ich für meinen Fall habe die einfach alle abgedreht.

Genauso habe ich es auch gemacht: Flattr, Amazon Affiliate (kam eh’ nix rein) etc. – alles entfernt. Der Link zu Facebook ist nur noch ein Link. So wie es mal sein sollte im Internet.

Datenschutzangaben
In den Kommentaren unten hat @Obraka den Datenschutz-Generator von Thomas Schwenke verlinkt, den ich mir auf jeden Fall anschauen werde und der auf den ersten Blick genau das liefert, was ich möchte.

Der Vollständigkeit halber hier noch der ursprüngliche Ansatz:
Auf dem Podcasting Meetup Berlin habe ich von @svenbrier den Tipp bekommen, dass der eRecht24-Impressumsgenerator auch schon Punkte zur DSGVO abfragt. Den habe ich mal durchgeklickt und werde das Ergebnis bald in meinem Impressum einbauen. Achtet darauf, dass ihr den kostenlosen Generator verwendet und nicht den mit einer Mitgliedschaft verbundenen.

To be continued

Das wären meine Maßnahmen bis jetzt. Als nächstes dokumentiere ich das auch noch mal für mich als Prozessdokument. Mein Ziel war es, möglichst keine Daten zu sammeln und den Podcast einfach so hörbar zu machen. Ich hoffe, das ist mir gelungen. Ich werde diesen Thread in den kommenden Wochen weiter ergänzen und bin gespannt auf Ergänzungen und Kommentare.

Obraka · 2018-04-24T09:25:51.534Z

Auch die Rechtsbelehrung war fleissig, hier eine FAQ Folge mit Stand heute: https://rechtsbelehrung.com/dsgvo-datenschutzerklaerung-faq-rechtsbelehrung-folge-55/

Inkl. Generator

Raumwelle · 2018-04-24T11:10:20.203Z

hier gibt es eine schöne chekliste gratis!!! vom thema ich dachte das hilft auch noch mal ist von einen anwalt erstelt

Checkliste

fairsein · 2018-04-24T16:44:43.552Z

Hallo ihr,

Ich habe zwei Fragen…

Was hast Du mit dem Feed gemacht? Ist der weiter per http:// erreichbar oder hast Du gesagt: Itunes, who cares oder weißt Du wie man ITunes mit Let’s Encypt reden lässt?

Das zweite ist eher eine Anmerkung. Ich werde die IP Addressen weiterhin speichern. Aber: Es besteht wohl zur Zeit die Rechtsauffassung, dass das unter Art. 6 Abs. 1 lit. f. DSGVO fällt.

Gruß Jan

nitramred · 2018-04-24T17:22:55.545Z

Dankeschön, Link ist direkt nach oben in den entsprechenden Absatz gewandert!

Obraka:

Inkl. Generator

nitramred · 2018-04-24T17:23:36.376Z

Klasse, danke für die Ergänzung. Lese ich mir die Tage mal durch und ergänze dann ggf. oben.

nitramred · 2018-04-24T17:42:05.085Z

Hallo Jan,
danke für Deine Ergänzungen. Hier meine Gedanken dazu:

fairsein:

Was hast Du mit dem Feed gemacht? Ist der weiter per http:// erreichbar oder hast Du gesagt: Itunes, who cares oder weißt Du wie man ITunes mit Let’s Encypt reden lässt?

In den Experten-Einstellungen von Podlove findest Du unten unter Website ein Dropdown. Dort habe ich "Website wird über https übertragen (inklusive Podcast-Feeds) ausgewählt und dann auch noch mal Apple Podcasts Connect den https-Feed eingetragen. Bislang hat sich iTunes nicht beklagt, ich meine, das Problem mit LetsEncrypt ist gelöst.

Experten_Einstellungen_‹Staatsbürgerkunde—_WordPress1834×269 103 KB

fairsein:

Ich werde die IP Addressen weiterhin speichern. Aber: Es besteht wohl zur Zeit die Rechtsauffassung, dass das unter Art. 6 Abs. 1 lit. f. DSGVO fällt.

So wie ich es in der Rechtsbelehrung verstanden habe, sollte das möglich sein unter dem Gesichtspunkt des berechtigten Interesses.

Obraka · 2018-04-24T20:26:06.777Z

WP Statistics hat heute laut Eigenausage auch Kompatibilitätseinstellungen bekommen. Betrifft wohl sicher auch ein paar die keine Lust auf Marmoto/Piwik hatten

Podpimp · 2018-04-25T12:49:34.018Z

Respekt, endlich auch mal was Griffiges drin wo “Hands on” drauf steht! Vielen Dank! #dsgvo

ldsijkhve · 2018-04-26T21:58:40.454Z

Wieso macht Ihr euch beim Thema DSGVO den Feinripp naß?

Am Grundverständniß des Datenschutzes hat sich nichts, aber auch gar nichts geändert.

HTTPS: Allein für den Podcast nicht notwendig! Nur notwendig, wenn der Betroffene (-> User/Anwender/Hörer) seine personenbezogenen Daten Übertragen kann (kommentieren kann, Newsletter bestellen kann, ggf. liken kann etc.). Kurz gesagt: Das reine “Konsumieren” eines Podcasts von Eurer Seite bedingt kein HTTPS.

Hosting: Scheiß drauf, wo Du deinen Podcast gehostet hast, Du bist sowieso verantwortlich - egal, ob der Server/Hoster in Deutschland oder Tuvalu angesiedelt ist. DU bist dafür verantwortlich, daß Dein Hoster nicht etwa die IP-Adresse des Users/Anwenders/Hörers, oder ggf. noch viel mehr, speichert. Kleiner Tip: Deutsche Provider sind an deutsches Recht gebunden. Noch ein kleiner Tip: Schaltet, wo es möglich ist, das Logging des Providers ab. Ihr könnt selber loggen, aber dem Hoster fehlt dafür die Rechtsgrundlage (außer der “Aufrechterhaltung seiner Infrastruktur”).

nitramred: Was meinst Du denn mit "gut anonymisiert? Wie gut ist denn “gut anonymisiert”?

Kommentare: Es gibt gute Gründe, die IP-Adresse von Kommentatoren zu speichern. Z.B. dann, wenn es in der Vergangenheit strafrechtlich relevant kommentiert wurde. Bsp.: Du hast einen Podcast über die Konzentrationslager der Nazis. Immer wieder gibt es Holocaustleugner, die behaupten, daß es den Holocaust nie gegeben hätte. Jetzt bist aber Du für die Publikation verantwortlich. DU hast ein berechtigtes Interesse, dir Schaden vom eigenen Leib zu halten und den Leugner dingfest zu machen. Dieses Interesse berechtigt Dich IMHO die IP-Adresse (natürlich nach Abwägung des Schutzwürdigen Belangs des Leugners) zu speichern.
Anderes Bsp.: Du betreibst das Forum der Anonymen Alkoholiker. Dein Interesse ist es, Alkoholsüchtigen eine intime Internetgesprächsplattform zu bieten. Natürlich kannst Du verargumentieren, daß Du keine IP-Adressen der Nutzer speicherst.
Egal, ob Dir Nazis oder Alkoholiker lieber sind - Du mußt erklären, ob und warum Du welche IP-Adressen wie lange speicherst. Für beides gibt es gute Gründe… Naja, zumindest für die Alkoholiker…

An dieser Stelle kleiner Hinweis an fairsein: Ja, IP-Adressen sind pb Daten. Ja, die fallen unter die DSGVO. Das heißt aber nicht, daß man sie nicht speichern darf. Das heißt nur, daß man nach einer Rechtsgrundlage für die Speicherung suchen muß. Also: Ja, Du darfst IP-Adressen weiterhin speichern, aber Du mußt begründen, warum Du das tust und warum das legal ist.

Statistiken: Reichweitenanalyse ist Dein berechtigtes Interesse. Natürlich darfst Du den Erfolg Deiner Präsenz messen. IP-Adressen sind aber pb Daten und da mußt Du vorsichtig sein. Es macht einen Unterschied, ob Du die Besucher Deiner Seite per Matomo oder per GA verfolgst (um nur die beiden zu nennen). Wenn Du es selbst machst (Matomo), mußt Du sicherstellen, daß das schutzwürdige Interesse des Users/Anwenders/Hörers mit Deinem berechtigten Interesse an der Reichweitenmessung austariert ist. GA ist IMHO illegitim (und da streite ich gerne).

Contributors: nitramred, Du hast Deine Gesprächspartner also nach ihrer Einwilligung in die Nutzung ihrer pb Daten (Name, Stimme, Bilder etc.) gefragt. Das ist gut so. Denke daran, daß diese Einwilligung aber jederzeit widerrufen werden kann. In dem Fall mußt Du alles löschen. Kleiner Tip: Hier geht es meistens nur mit dem Erlaubnistatbestand der Einwilligung. Ich habe aber noch keinen Gesprächspartner erlebt, der seine Einwilligung im Nachhinein widerrufen hätte.

Noch ein kleiner Tip im Extraabsatz: Betroffene, also User, Anwender, Hörer, Kontributoren, etc. sind mutmaßlich viel eher mit der Verarbeitung ihrer Daten einverstanden, wenn sie genau wissen, wie und was da passiert. Denkt an das Volkszählungsurteil aus den frühen 80ern. Informationelle Selbstbestimmung gehört zum grundlegenden Persönlichkeitsrecht eines Menschen. Kurz gesagt: Es wir Euch niemand ans Bein pissen, wenn Ihr ihm vorher sagt, daß Ihr das Gespräch, ein bestimmtes Bild von ihm, einen Link auf seine Internetpräsenz etc. auf Eurer Seite veröffentlicht, in Eurem Podcast zu hören ist etc.

Gravatar-Bilder: Ok, wer wirklich noch was von Gravatar hält, der soll’s halt machen. Der User/Anwender/Hörer, der ein Gravatar-Account hat, hat den ja genau für diesen Zweck angelegt: Sein Logo soll einheitlich auf allen Gravatar-verwendenden Seiten dargestellt werden. Es ist für den User/Anwender/Hörer also (zumindest IMHO) keinesfalls “überrumpelnd”, wenn sein Gravatar-Bild auch auf Deiner Seite erscheint. Aber bitte nicht vergessen, daß das in der Datenschutzerklärung erwähnt werden muß.

Social Links: Vorsicht bei der unbeabsichtigten Übermittlung pb Daten an 3.
Schlecht: Einfach einbinden.
Ein bißchen besser: Einfache Hyperlinks.
Noch ein bißchen: Besser: 2-Klick-Lösung
Am besten: Scheiß drauf! Wer braucht schon Social Links???
Unbedingt: Wenn schon, dann aber auch in der Datenschutzerklärung darauf hinweisen.

ULTIMATIVER TIP: Hört die beiden letzten Folgen der Rechtsbelehrung an. Verinnerlicht sie. Handelt danach. Ich behaupte mal: Dann paßt alles.

phil · 2018-04-27T22:04:18.368Z

ldsijkhve:

ULTIMATIVER TIP: Hört die beiden letzten Folgen der Rechtsbelehrung an. Verinnerlicht sie. Handelt danach.

Herzlove mit Glitter!

Joram · 2018-04-29T13:01:58.358Z

nitramred:

Kommentare

Dasselbe mache ich mit meinen Kommentaren anhand dieser Anleitung von den WP Ninjas: IP-Adressen neuer Kommentare werden direkt maskiert, für die alten habe ich aus der Datenbank die IP-Adressen gelöscht. Außerdem habe ich Akismet deaktiviert. Außerdem habe ich in Wordpress eingestellt, dass keinerlei Daten zum Kommentieren erforderlich sind:

Was machst Du dann gegen Kommentarspam? Auf anderen Seiten hat mir Akismet mitunter hunderte Spam-Kommentare am Tag gefiltert. Gibt es da Alternativen?

dirkprimbs · 2018-04-29T17:02:53.064Z

Antispam bee ist in seiner Grundeinstellung sehr genügsam, wirkt bei mir genauso gut und überträgt keine Daten mehr an dritte.

Raumwelle · 2018-04-29T18:47:48.953Z

antispam bee ist zwar datenschutz mässig besser als akismet aber mann hatt nach den verkauf einige gute funktionen abgeschaft die die hohe erkennungs sicherheit bestreffen wie zbs. das erkennden der sprache eines konnetars und der des blogs.

dirkprimbs · 2018-04-29T18:51:32.847Z

Ja, für solche Funktionen müsste aber auch wieder der Kommentar durch die Gegend geschickt werden und das wollen wir ja gerade nicht