DSGVO Update, IP Dsystopien & WordPress ab 25. Mai: Wohin geht die Core-Reise?

DSGVO Update, IP Dsystopien & WordPress ab 25. Mai: Wohin geht die Core-Reise?

Meine DSGVO-Checkliste für Blogger hat nach knapp zwei Monaten weit über 1.000 Shares bekommen – als bräuchte man einen weiteren Indikator, dass das Thema DSGVO die Blogwelt beschäftigt, ja teilweise geradezu in Panikstarre versetzt. Vielleicht gar nicht die schlechteste Taktik, denn zwei Monaten vor dem 25. Mai, jenem Tag X, an dem die neuen Datenschutz-Bestimmungen in Kraft treten, kommt Bewegung in den WordPress Core. Der Masterplan: neue Funktionen und Hooks sollen alle relevanten Informationen und Features (Stichwort: Recht auf Löschung) an zentraler Stelle implementieren, 3rd Party Plugins können an das GDPR-Interface andocken. Unabhängig davon sollten sich Blogger meiner Ansicht nach auch aus strafrechtlicher Sicht mit der Frage nach der Speicherung von IP Adressen auseinander setzen.

Soll ich IP-Adressen weiterhin mit Kommentaren speichern?

Meiner Meinung nach: Ja. Denn das berechtige Interesse, IP Adressen mit Kommentaren zu speichern, geht grundsätzlich von der Möglichkeit des Missbrauchs aus: Wenn Herr X auf meinem Blog kommentiert, dass „alle aufgehängt gehören“ und ich als Blogbetreiber derartige verhetzende Meldungen zur Anzeige bringen möchte, dann könnte die IP Adresse für eine allfällige Strafverfolgung durchaus hilfreich sein – zumindest, sofern der Verfasser des Kommentars keine Proxys oder anderen Obfuskationsmethoden benutzt hat.

Nein, ist es nicht – ich habe mich nach reiflicher Überlegung dazu entschlossen, neue Kommentare sofort und ohne vorherige Prüfung zu veröffentlichen und bin damit nicht allein. Aber warum?

  1. Weil meine Spam-Erkennung locker gut genug funktioniert, um die üblichen Viagra-Verdächtigen auch ganz ohne Captcha auszusperren.
  2. Weil ich die sofortige Veröffentlichung als gravierenden Mehrwert für den Kommentierenden betrachte.
  3. Weil Trolle sich auch auf meiner Facebook-Seite und anderen Profilen, wo ich sowieso keine Kommentare moderieren kann, austoben können. Warum also am eigenen Blog päpstlicher sein als Papst Mark?

Nach geltender Rechtslage sind wir als Seitenbetreiber dazu verpflichtet, rechtswidrige Kommentare zu entfernen, sobald wir von ihnen Kenntnis erlangen – das lässt sich in der Praxis dank der E-Mail Benachrichtigungen auch ohne Moderationsschleife ausreichend zeitnahe realisieren.

Ich habe oben ganz bewusst „nach reiflicher Abwägung“ geschrieben, denn ich hatte im Lauf meiner 11 Blogjahre noch nie eine derartige Situation* zu bewältigen, zwei meiner Kunden sehr wohl. Wenn Sie mal selbst in einer Lage sind, in der das Thema Strafverfolgung relevant wird, dann fragen die ermittelnden Organe als erstes nach den involvierten IPs. Deshalb deaktiviere ich die Speicherung nicht, sondern lösche Kommentar-IPs nach zwölf Monaten automatisiert aus der Datenbank.

Problem gelöst? Nicht wirklich.

Es wird noch skurriler: Warum es mir lieber wäre, wenn andere Blogger Kommentar-IPs speichern

Achtung, es wird gleich noch hypothetischer: Stellen Sie sich vor, Ihr Todfeind (oder einfach nur ein echt verärgerter Kunde) möchte Ihren Ruf im Netz nachhaltig schädigen und sucht ein paar Seiten raus, die Kommentare ohne Registrierung erlauben.

Anschließend schreibt er unter Angabe Ihres Namens, Ihrer E-Mail Adresse und gegebenenfalls Ihrer Webseite defätistische und/oder rechtswidrige Kommentare auf mehreren Seiten. Falls dieser – zugegeben nicht wahnsinnig wahrscheinliche noch häufige Fall eintritt – wäre es gewiss im Sinne des Geschädigten, wenn die betreffenden Blogger im Rahmen einer strafrechtlichen Ermittlung die IPs, mit der die betreffenden Kommentare abgegeben wurden, angeben könnte.

Stimmt die IP nicht mit Ihrer (egal ob dynamisch oder statisch, auf richterliche Anordnung rückt der Provider die Daten natürlich raus) überein, ist das noch keine Entlastung (Stichwort Proxies), aber ein starkes Indiz, dass Sie möglicherweise Opfer eines – ohne jegliche technische Kenntnisse zu bewerkstelligenden – boshaften Identitätsdiebstahls wurden.

Online-Identitäts-„Diebstahl“ kommt öfter vor, als man denke: Ein anders gelagerter Fall hat mir mal vor einigen Jahren kurzfristig Ärger bereitet: Nachdem ich mein Xing-Konto vom Support hatte löschen lassen (wegen Xing-, pardon Sinnlosigkeit), fragte mich einige Wochen später ein Blogger-Kollege, was mich denn umgestimmt habe. Es stellte sich heraus, dass jemand ein neues Konto unter meinem Namen registriert hatte… das der Support nach Zusendung einer Passkopie entfernte. Seitdem hab ich wieder ein Platzhalter-Konto beim „größten deutschen Business Netzwerk“.

Was sagt das WordPress Entwicklerteam zur GDPR Compliance?

Geheimniskrämerei kann man dem WordPress Core Team nun wirklich nicht vorwerfen: Die einzelnen Entwicklungsschritte der Software werden im Vorfeld stets ausgiebig diskutiert. Der Weg hin zu einer vollständigen GDPR Compliance macht da keine Ausnahme. Der erste Developer Chat fand am 21. März statt, die überaus spannende Diskussion ist unter dem Tag #GDPR auf make.wordpress.com/core nachzulesen.

Für morgen ist die 4.9.5er Version (Beta bereits erschienen) in der Pipeline, bis zum Tag X am 25. Mai werden 4.9.6 und/oder 4.9.7 die restlichen Änderungen implementieren. Die Core-Programmierer planen die Implementierung neuer Functions und Hooks, die Pläne sind ambitioniert und auf Github dokumentiert:

  1. Identify all personal data stored by core processes.
  2. Add tools (functions, hooks, etc.) in core to facilitate compliance, and privacy in general:
    • For Administrators/site owners to get an overview of what data is stored and how to use the tools
    • To anonymise/delete personal data
    • To show/export personal data (for transfer)
    • Add notices for both registered users and commenters on what data is collected in core by default, and why.
  3. Setup a privacy centre to hold GDPR information for site users, for site administrators, and developers.
    • For site users and administrators: What is collected, how long, why, etc
    • For developers: How to use the core tools

Das deckt einen weiten Bereich ab und könnte bis zum Stichtag Behelfs-Plugins sogar überflüssig machen. Auch über die oben diskutierte IP-Speicherung machen sich die WordPress-Programmierer Gedanken, allerdings im Hinblick auf statistische Auswertungen und nicht unbedingt in punkto Umgang mit strafrechtlich relevanten Kommentaren.

Nochmal, um allfällige noch bestehende Klarheiten auszuräumen: Szenarien, in denen man für eine allfällige Strafverfolgung die IP-Adresse benötigt, sind in der freien Wildbahn nicht oft vertreten. Aber potentiell möglich, und einer von vielen Gründen, warum die Deaktivierung der IP-Speicherung womöglich nicht die schlaueste Reaktion auf die DSGVO ist. Ob solche Überlegungen ein berechtigtes Interesse für die Speicherung der Kommentar-IPs darstellen, werden dann ab 25. Mai Juristen zu entscheiden haben. Um die anderen großen Brocken wird sich dankenswerterweise die Open Source Community kümmern. Speziell auf Themes und Plugins, die schon länger nicht mehr upgedatet werden, sollten WordPress-Seitenbetreiber auch aus DSGVO-Gründen ein kritisches Auge werfen.


*) Einmal hat mir Identicon zufällig ein Hakenkreuz generiert. Klingt komisch? Nachzulesen in diesem Beitrag. Aber da war der Algorithmus schuld, nicht der Kommentator.

4 Antworten
  1. Richard says:

    Versteh‘ ich das Argument falsch oder sollte es in der Zwischenüberschrift nicht heißen, dir wäre es lieber wenn andere Blogger die IPs speicherten?

    Antworten
  2. Noob says:

    Wie ist das eigentlich generell mit externen CDNs und DSGVO? Wenn man CDNs, gravatar.com o.ä. einbindet, schickt man die IP der Besucher ja sozusagen dort hin, bei gravatar alleine beim Aufruf einer Seite mit bestehenden Kommentaren von anderen, und der Besucher kann es nicht verhindern, selbst wenn es in der Datenschutzerklärung erklärt wird, die IP ist dann ja schon verschickt.

    Antworten

Hinterlassen Sie einen Kommentar

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

* Die DSGVO Checkbox ist ein Pflichtfeld.

*

Zustimmung zur Datenspeicherung lt. DSGVO

Möchten Sie neue Kommentare abonnieren?
Wann möchten Sie Ihre Benachrichtungen erhalten?