DSGVO, komplette HTTPS-Umstellung und Webseitenstilllegung

Die kommende DSGVO macht mir richtig Sorgen. Das wird m.E. der größte Angriff auf die Freiheit im Internet, der wohl jemals vorgenommen wurde. Unter dem Deckmantel des Datenschutzes wird in Wirklichkeit alles torpediert, was an Datenschutz tatsächlich sinnvoll ist. Vor allen Dingen sind alle unbescholtenen Webseitenbetreiber in großer Gefahr abgemahnt zu werden, wenn diese unselige Verordnung Ende Mai wirklich kommt. Es gilt vorzusorgen, um für skrupellose Abmahnanwälte kein zu leichtes Opfer zu sein.

Ich bin zwar ein bisschen unschlüssig, ob meine Hysterie nicht an Paranoia grenzt. Denn ich muss zugeben, dass ich auch damals die Jahrtausendumstellung und das Y2-Problem im Vorfeld viel kritischer gesehen habe als die tatsächliche Umstellung dann war. Aber da ich kommenden Montag im Rahmen einer Veranstaltung unseres Business-Netzwerks zu dem Thema einiges zu der Diskussion beitragen soll und will, habe ich mich mitterweile genauer informiert. Und was ich gefunden habe ist noch beunruhigender als das, was mir bis vor wenigen Tagen schon klar war. Eine sehr interessante Quelle habe ich hier gefunden.

Ich habe auf jeden Fall für meine Seiten einige Maßnahmen durchgeführt, die nach meinem aktuellen Wissensstand notwendig oder zumindest sinnvoll sind. Auch wenn sie überzogen aussehen sehen mögen und vielleicht auch sind.

Löschen aller Seiten, die man nicht ständig kontrollieren kann oder will

Ich habe heute mehrere Webseiten stillgelegt. Diese sind zwar in jeder Hinsicht vollkommen harmlos gewesen, aber für jede Seite, die man in Zukunft im Web halten will, sollte man bereit sein permanent Aufmerksamkeit und Arbeit zu investieren. Einfach so eine Seite ins Internet hochladen, mit einem Impressum und einer Datenschutzerklärung auszustatten und dann in Ruhe zugänglich zu lassen, langt definitiv nicht mehr.

Warnung von Cookies

Schon geraume Zeit muss jede Seite diese lächerliche Warnung vor Cookies anzeigen, wenn man solche verwendet (was eigentlich immer rein technisch notwendig ist). Unter WordPress hilft das Plugin Cookie Consent ziemlich gut und unter Joomla CookieHint.

Entfernen aller Button oder sonstiger Verknüpfungen zu sozialen Netzwerken

Es gibt zwar Erklärungen von den üblichen sozialen Netzwerken und Internetdiensten rund um Youtube, Google, Facebook & Co, die man in seine Datenschutzerklärung der Webseite integrieren kann, wenn man deren Features einbindet. Dennoch habe ich alle Verbindungen zu diesen Angeboten beseitigt, soweit ich diese heute gefunden habe. Aber für den Fall, dass ich noch irgendwelche Stellen übersehen habe, binde ich dennoch diese Erklärungen ein.

Löschen aller Werbebanner

Spätestens seit den Umstellungen der Bedingungen zur Teilnahme an den Partnerprogrammen von Google, Youtube & Co lohnen sich Werbebanner für 99% aller Webseite nicht mehr oder man kommt gar nicht in das Partnerprogramm. Wenn man sich dann noch ehrlich klar macht, wie minimal die Einnahmen von den Bannern wirklich sind (auch bei anderen Anbietern von solchen Adsense-Verträgen), wie maximal man damit aber seine Webseiten verschandelt und vom eigentlich Inhalt der Webseite ablenkt, ist eine Entfernung dieses Werbeschmutzes der einzig richtige Weg. Die Webseite wird schneller, schlanker, übersichtlicher und zudem hat man zumindest eine kleine Chance, dass man hinsicht der DSGVO nicht als kommerzielle Webseite gebrandmarkt wird (was bereits bei einem einzigen Werbebanner der Fall ist) und damit die gleichen Regularien einhalten muss wie Facebook, Amazon, Google, ebay etc. – nur ohne deren Rechtsabteilung. Und Webseiten mit einem Business-Hintergrund wirkcn sowieso vollkommen unprofessionell, wenn auf diesen Werbung für irgendjemand Fremdes gemacht wird.

Deaktivierung von Nutzeranmeldung und Registierung

Ich habe auf einigen Seiten die Registrierung von Nutzern und die Anmeldung deaktiviert. Das schützt schon mal vor einigem potentiellen Ärger. Natürlich geht damit viel Komfort und Leistung verloren, aber das Risiko durch die DSGVO ist zu groß. Chats, Foren, Gästebücher, Kommentare etc. würde ich ab sofort grundsätzlich abstellen. Ich habe so gut wie alles in der Art von meinen Seiten verbannt oder werde das noch tun, wenn ich was übersehen habe (was auf jeden Fall so sein wird).

Umstellung auf https

Ich habe so gut wie alle verbliebenen Webseiten auf https umgestellt. Das ist vermutlich der unbekannteste Passus der neuen DSGVO. Wann immer eine Kommunikation mit Besuchern vorgenommen wird (etwa Kontaktformular, Anmeldung oder Registrierung etc.), muss das sicher erfolgen. Und das bedeutet verschlüsselt. Mir ist die genaue Rechtsauffassung nicht ganz klar, aber zur Sicherheit habe ich gleich alle Webseiten so konfiguriert, dass sie nur noch über https erreichbar sind. Das hat auch erhebliche Vorteile hinsichtlich dem Ranking in Google, was ein angenehmer Nebeneffekt ist. So gesehen hat die DSGVO ein Gutes – ich wurde gezwungen, mich endlich mit dem Thema zu beschäftigen.

Als Erstes braucht man ein Zertifikat und das bekommt man kosten los bei Let’s Encrypt. Das kann man dann für jede Domain auf seinem Server einrichten (etwa mit Plesk) oder auch der Provider sollte dieses Feature anbieten (sonst muss man dringend den Provider wechseln).

In meinem speziellen Fall habe ich meine Webseiten auf einem V-Server, der mit Plesk administriert wird. In reinem Apache wird für einen Zwang zu https die Anweisungen einfach in der .htaccess notiert.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>

In Plesk notiert man das in die Einstellungen des vHost innerhalb des Plesk-Panels unter den Einstellungen für Apache & nginx. Diese Direktiven sollten aber sowohl für http alsauch https gesetzt werden. Dann werden alle Seiten auf der jeweiligen Domain nur noch per https ausgeliefert.

Zur Sicherheit sollte man dann auch noch alle URLs von http auf https umstellen. Da ich zudem hauptsächlich mit WordPress arbeite, hat mir dazu das Plugin Velvet Blues Update URLs sehr gute Dienste geleistet.

Datenschutzerklärung

Zum Schluss bleibt noch die Datenschutzerklärung, die ich auf einigen Seiten schon drin habe. Andere muss ich noch anpassen, aber es sind ja noch ein paar Tage Zeit. Ich werden diese maximal erstellen, auch wenn ich versucht habe alles aus meinen Seiten rauszuhalten, was da kritisch sein kann. Aber ich werde einen Teufel tun und eine Lücke lassen, wenn ich irgendwo etwas vergessen oder übersehen habe. Ich habe es schon einmal gesagt – diese nun notwendigen Passagen sind so umfangreich, dass niemand sowas je lesen wird und das wird wohl auch das Ziel sein. Die Verordnung widerspricht auf das Übelste dem Gebot der Transparenz.

Kommentar verfassen