DSGVO-Update: Wo geht die Reise hin?

DSGVO Update, IP Dsystopien & WordPress ab 25. Mai: Wohin geht die Core-Reise?

Meine DSGVO-Checkliste für Blogger hat nach knapp zwei Monaten weit über 1.000 Shares bekommen – als bräuchte man einen weiteren Indikator, dass das Thema DSGVO die Blogwelt beschäftigt, ja teilweise geradezu in Panikstarre versetzt. Vielleicht gar nicht die schlechteste Taktik, denn zwei Monaten vor dem 25. Mai, jenem Tag X, an dem die neuen Datenschutz-Bestimmungen in Kraft treten, kommt Bewegung in den WordPress Core. Der Masterplan: neue Funktionen und Hooks sollen alle relevanten Informationen und Features (Stichwort: Recht auf Löschung) an zentraler Stelle implementieren, 3rd Party Plugins können an das GDPR-Interface andocken. Unabhängig davon sollten sich Blogger meiner Ansicht nach auch aus strafrechtlicher Sicht mit der Frage nach der Speicherung von IP Adressen auseinander setzen.

Soll ich IP-Adressen weiterhin mit Kommentaren speichern?

Meiner Meinung nach: Ja. Denn das berechtige Interesse, IP Adressen mit Kommentaren zu speichern, geht grundsätzlich von der Möglichkeit des Missbrauchs aus: Wenn Herr X auf meinem Blog kommentiert, dass „alle aufgehängt gehören“ und ich als Blogbetreiber derartige verhetzende Meldungen zur Anzeige bringen möchte, dann könnte die IP Adresse für eine allfällige Strafverfolgung durchaus hilfreich sein – zumindest, sofern der Verfasser des Kommentars keine Proxys oder anderen Obfuskationsmethoden benutzt hat.

Nein, ist es nicht – ich habe mich nach reiflicher Überlegung dazu entschlossen, neue Kommentare sofort und ohne vorherige Prüfung zu veröffentlichen und bin damit nicht allein. Aber warum?

  1. Weil meine Spam-Erkennung locker gut genug funktioniert, um die üblichen Viagra-Verdächtigen auch ganz ohne Captcha auszusperren.
  2. Weil ich die sofortige Veröffentlichung als gravierenden Mehrwert für den Kommentierenden betrachte.
  3. Weil Trolle sich auch auf meiner Facebook-Seite und anderen Profilen, wo ich sowieso keine Kommentare moderieren kann, austoben können. Warum also am eigenen Blog päpstlicher sein als Papst Mark?

Nach geltender Rechtslage sind wir als Seitenbetreiber dazu verpflichtet, rechtswidrige Kommentare zu entfernen, sobald wir von ihnen Kenntnis erlangen – das lässt sich in der Praxis dank der E-Mail Benachrichtigungen auch ohne Moderationsschleife ausreichend zeitnahe realisieren.

Ich habe oben ganz bewusst „nach reiflicher Abwägung“ geschrieben, denn ich hatte im Lauf meiner 11 Blogjahre noch nie eine derartige Situation* zu bewältigen, zwei meiner Kunden sehr wohl. Wenn Sie mal selbst in einer Lage sind, in der das Thema Strafverfolgung relevant wird, dann fragen die ermittelnden Organe als erstes nach den involvierten IPs. Deshalb deaktiviere ich die Speicherung nicht, sondern lösche Kommentar-IPs nach zwölf Monaten automatisiert aus der Datenbank.

Problem gelöst? Nicht wirklich.

Es wird noch skurriler: Warum es mir lieber wäre, wenn andere Blogger Kommentar-IPs speichern

Achtung, es wird gleich noch hypothetischer: Stellen Sie sich vor, Ihr Todfeind (oder einfach nur ein echt verärgerter Kunde) möchte Ihren Ruf im Netz nachhaltig schädigen und sucht ein paar Seiten raus, die Kommentare ohne Registrierung erlauben.

Anschließend schreibt er unter Angabe Ihres Namens, Ihrer E-Mail Adresse und gegebenenfalls Ihrer Webseite defätistische und/oder rechtswidrige Kommentare auf mehreren Seiten. Falls dieser – zugegeben nicht wahnsinnig wahrscheinliche noch häufige Fall eintritt – wäre es gewiss im Sinne des Geschädigten, wenn die betreffenden Blogger im Rahmen einer strafrechtlichen Ermittlung die IPs, mit der die betreffenden Kommentare abgegeben wurden, angeben könnte.

Stimmt die IP nicht mit Ihrer (egal ob dynamisch oder statisch, auf richterliche Anordnung rückt der Provider die Daten natürlich raus) überein, ist das noch keine Entlastung (Stichwort Proxies), aber ein starkes Indiz, dass Sie möglicherweise Opfer eines – ohne jegliche technische Kenntnisse zu bewerkstelligenden – boshaften Identitätsdiebstahls wurden.

Online-Identitäts-„Diebstahl“ kommt öfter vor, als man denke: Ein anders gelagerter Fall hat mir mal vor einigen Jahren kurzfristig Ärger bereitet: Nachdem ich mein Xing-Konto vom Support hatte löschen lassen (wegen Xing-, pardon Sinnlosigkeit), fragte mich einige Wochen später ein Blogger-Kollege, was mich denn umgestimmt habe. Es stellte sich heraus, dass jemand ein neues Konto unter meinem Namen registriert hatte… das der Support nach Zusendung einer Passkopie entfernte. Seitdem hab ich wieder ein Platzhalter-Konto beim „größten deutschen Business Netzwerk“.

Was sagt das WordPress Entwicklerteam zur GDPR Compliance?

Geheimniskrämerei kann man dem WordPress Core Team nun wirklich nicht vorwerfen: Die einzelnen Entwicklungsschritte der Software werden im Vorfeld stets ausgiebig diskutiert. Der Weg hin zu einer vollständigen GDPR Compliance macht da keine Ausnahme. Der erste Developer Chat fand am 21. März statt, die überaus spannende Diskussion ist unter dem Tag #GDPR auf make.wordpress.com/core nachzulesen.

Für morgen ist die 4.9.5er Version (Beta bereits erschienen) in der Pipeline, bis zum Tag X am 25. Mai werden 4.9.6 und/oder 4.9.7 die restlichen Änderungen implementieren. Die Core-Programmierer planen die Implementierung neuer Functions und Hooks, die Pläne sind ambitioniert und auf Github dokumentiert:

  1. Identify all personal data stored by core processes.
  2. Add tools (functions, hooks, etc.) in core to facilitate compliance, and privacy in general:
    • For Administrators/site owners to get an overview of what data is stored and how to use the tools
    • To anonymise/delete personal data
    • To show/export personal data (for transfer)
    • Add notices for both registered users and commenters on what data is collected in core by default, and why.
  3. Setup a privacy centre to hold GDPR information for site users, for site administrators, and developers.
    • For site users and administrators: What is collected, how long, why, etc
    • For developers: How to use the core tools

Das deckt einen weiten Bereich ab und könnte bis zum Stichtag Behelfs-Plugins sogar überflüssig machen. Auch über die oben diskutierte IP-Speicherung machen sich die WordPress-Programmierer Gedanken, allerdings im Hinblick auf statistische Auswertungen und nicht unbedingt in punkto Umgang mit strafrechtlich relevanten Kommentaren.

Nochmal, um allfällige noch bestehende Klarheiten auszuräumen: Szenarien, in denen man für eine allfällige Strafverfolgung die IP-Adresse benötigt, sind in der freien Wildbahn nicht oft vertreten. Aber potentiell möglich, und einer von vielen Gründen, warum die Deaktivierung der IP-Speicherung womöglich nicht die schlaueste Reaktion auf die DSGVO ist. Ob solche Überlegungen ein berechtigtes Interesse für die Speicherung der Kommentar-IPs darstellen, werden dann ab 25. Mai Juristen zu entscheiden haben. Um die anderen großen Brocken wird sich dankenswerterweise die Open Source Community kümmern. Speziell auf Themes und Plugins, die schon länger nicht mehr upgedatet werden, sollten WordPress-Seitenbetreiber auch aus DSGVO-Gründen ein kritisches Auge werfen.


*) Einmal hat mir Identicon zufällig ein Hakenkreuz generiert. Klingt komisch? Nachzulesen in diesem Beitrag. Aber da war der Algorithmus schuld, nicht der Kommentator.

0 Kommentare
  1. Noob
    Noob sagte:

    Wie ist das eigentlich generell mit externen CDNs und DSGVO? Wenn man CDNs, gravatar.com o.ä. einbindet, schickt man die IP der Besucher ja sozusagen dort hin, bei gravatar alleine beim Aufruf einer Seite mit bestehenden Kommentaren von anderen, und der Besucher kann es nicht verhindern, selbst wenn es in der Datenschutzerklärung erklärt wird, die IP ist dann ja schon verschickt.

  2. Horst
    Horst sagte:

    Wie steht es denn hier mit Anforderungen des Gesetzes Daten nachzuhalten? Also insbesondere für die Strafverfolgungsbehörden?
    Betrifft das den Blogger und wenn ja, sind das dann nicht entgegengesetzte Anforderungen?

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Es gibt etliche Aufbewahrungsfristen, die der DSGVO entgegen stehen bzw. sie overrulen – z.B. Aufbewahrungspflichten fürs Finanzamt etc. Als Webseitenbetreiber macht es zwar Sinn, IPs (temporär) zu speichern, aber verpflichtet ist man dazu keineswegs.

  3. Bella
    Bella sagte:

    Hier in Spanien macht man sich darüber irgendwie noch keine Sorgen. Das ging so weit, dass ich lange gedacht habe, dass das D in DSGVO für Deutschland steht. Jetzt stehe ich sozusagen kurz vor der Nachtschicht und bedanke mich schon über all das nützliche hier. Ich war kurz davor, die IP Adressen zu löschen, aber deine Argumentation ist sehr stichhaltig. Bleiben noch die vielen, vielen anderen kleine Baustellen. Aber ich hab ja noch ein paar Tage :-)

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Hi Bella, die gilt zwar für ganz Europa, aber generell sind Spanier vermutlich bei allem etwas entspannter :) Es gibt ja auch ein paar Ländern, die die DSGVO noch immer nicht in nationales Recht umgesetzt haben :) Alles Gute bei den Umbauten!

  4. Jennifer K.
    Jennifer K. sagte:

    Hallo Leute,

    wie kann ich z.B. ein Plugin für einen Opt out Link installieren, wenn ich nur den Premim Tarif habe? Damit ist es mir nicht möglich plugins hochzuladen. Darüber hinaus ist mir auch nicht klar, ob ich das Speichern von IP Adressen für Kommentare nach DSGVO technisch unterbinden muss. Damit würden auch berechtigte Anfragen von Strafverfolgungsbehörden nicht mehr beantwortet können.

    • Ritchie Pettauer
      Ritchie Pettauer sagte:

      Wenn WordPress.com keine entsprechende Funktion anbietet, bist du als Seitenbetreiber da relativ machtlos. Wobei mir immer noch nicht klar ist, wie WP.com im GDPR Kontext letztlich zu bewerten ist. Wenn der Nutzer gar keine entsprechenden Eingriffsmöglichkeiten hat, ist man bei den Anpassungen völlig vom Anbieter abhängig.

Hinterlasse einen Kommentar

Schreibe einen Kommentar