Categories
IT-Stuff

Kommentare #DSGVO Part II

Die Vermeidung der unnötigen Verspeicherung von personenbezogenen Daten ist gem. DSGVO notwendig. Der sicherste Weg ist auf jeden Fall, die IP-Adressen der bestehenden Kommentare aus der Datenbank zu entfernen.
Ob die Löschung dieser IP-Adressen, sich nicht gegen ein berechtigtes Interesse zur abwehr von Schaden gegen das Unternehmen richtet muss von Fall zu Fall analysiert ung besprochen werden. (ggf. bieten die von eingesetzten WordPress Instanzen bereits Möglichkeiten um diese manuellen Eingriffe zu ersetzen)

Wurde die Entscheidung getroffen, die Daten zu löschen wird der Zugriff auf die Datenbank des Hoster benötigt. Die meisten Hoster stellen das Tool phpMyAdmin zur Verfügung und an diesem Beispiel sei der Vorgang nun hier beschrieben um die IP-Adressen der Kommentare aus der WordPress-Datenbank zu entfernen. Vor Anpassungen an der Datenbank, ist diese zu sichern. (ein Backup der Datenbank erstellen)

Methode 1:
Manuell, lohnt sich nur bei wenigen Kommentaren

Methode 2:
mittel SQL-Befehl den Inhalt mit einem leeren Wert zu überschreiben.

Die Kommentare werden in der Datenbanktabelle xx_comments gespeichert. xx_ steht für das bei der Installation angegebene Datenbank-Prefix. Bei einem großteil der Installationen dürfte hier wp_comments vergeben sein.

In dieser Tabelle (wp_comments) befidet sich die Spalte comment_author_IP
Aus dieser Spalte müssen nun die IP-Adressen entfernt werden. Dies kann durch 2 Methoden umgesetzt werden.

Disclaimer:
[Die Verwendung des hier bereitgestellten Codes erfolt ohne Ausnahme auf eigene Gefahr. Das Code Beispiel dient als proof of Concept für die hier beschriebene Aufgabe]

UPDATE xx_comments SET comment_author_IP = ' ';

Zusammenfassung:
Es werden nach dieser Umsetzung keine IP Adressen verspeichert was man als lobenswert bezeichenen könnte, jedoch hat man auch keine Möglichkeit mehr sich gegen Bedrohungen zu wehren bzw. diese zu dokumentieren (sollte klar unter den Breich berechtigtes Interesse fallen). Die Frage ob eine nachträgliche Anonymisierung zu bevorzugen wäre gilt es einer gesonderten Erörterung zuzuführen. Somit gilt wie bereits in https://islba.co.at/kommentare-dsgvo-part-1/(opens in a new tab), “Wo Licht, Da auch Schatten

Categories
IT-Stuff

Kommentare #DSGVO Part I

WordPress speichert per default die IP-Adressen der User die Kommentare verfassen. Die Erfassung der IP-Adresse kann je nach Interpretation der #DSGVO problematisch sein bzw. werden (Stichwort Verarbeitung von personenbezogenen Daten). Mithilfe einer Anpassung in der functions.php wird das zukünftige Speichern der IP-Adressen verhindert. (ggf. bieten die von eingesetzten WordPress Instanzen bereits Möglichkeiten um diese manuellen Eingriffe zu ersetzen)

Categories
IT-Stuff

Analysetools der WebHoster für Besucher #DSGVO

Verarbeitung von IP Adressen durch den Hoster. Verarbeitung in dessen Log Files, zur Bereitstellung von Analyse Seiten wie der Besucherstatistik

Eine Besucherstatistik ist bleibt eine Datensammlung:
Die Nutzung des Analye Tools muss dem User bekannt gemacht werden. Sprich der Besucher muss in der Datenschutzerklärung über Zweck / Verwendung und Speicherung informiert werden. In weiterer Folge ist es hier auch grundsätzlich empfehlenswert, Daten für die Analyse (IP-Adressen) bereits durch den Hoster in anonymisierter Form durch das Analyse Tool auswerten zu lassen, durch die Anonymisierung geht die Aussagekraft der Analyse nicht zwangsläufig verloren, der wesentliche Vorteil ist jedoch die Konformität zur DSGVO. Da dieses von Hoster eingesetzte Tool auf einer technischen Ebene agiert die bei gehosteten Plattformen vom Nutzer nicht aktiv beeinflusst werden können, gibt es in diesen Fällen nur 2 Möglichkeiten, entweder die vollständige Deaktivierung der Analyse oder die Verwendung mit anonymisierten Daten (IP Adresse) und einhergehender Information in der Datenschutzerklärung da für den Besucher der Website ein OptOut aus der Analyse beim Besuch der website nicht möglich ist

Eines der häufig eingesetzten Analyse Tools ist AWStats:
Dieses Tool analysiert Logfiles von Webseiten und erstellt daraus Besucher-Statistiken. Die daraus resultierenden Berichte werden als HTML-Seite ausgegeben und in jedem Browser dargestellt werden. AWStats bietet nur die Analysefunktion der Internetpräsenz / Website an.

Auswertungen mittels AWStats (immer in Abhängigkeit in welcher Version der Hoster das Analysetool installiert hat)
Der Gliederung der Analyse wird wie folgt in folgenden Bereichen bereitgestellt:

Wann / Wer / Navigation / Verweise / Sonstiges
Details der Bereiche des Tools:
HTTP Fehlercodes
Suchausdrücke (Top10)
Links von einer externen Seite (keine Suchmaschinen)
Links von einer Internet-Suchmaschine
Browser (Top 10)
Betriebssysteme (Top 10)
Seiten-URL (Top 10)
Downloads (Top 10)
Aufenthaltsdauer
Robots/Spiders (Suchmaschinen) (Top 10)
Rechner IP-Adressen (müssen anonymisiert sein) (Top 10)
Stunden (zu welcher Zeit) (Serverzeit)
Wochentage (an welchem Tag)
Tage im Monat
Monatliche Historie

.

Categories
IT-Stuff

#WordPress PlugIns #DSGVO

DSGVO-bedenkliche WordPress-Plugins entfernen und mit DSGVO-konformen Alternativen ersetzen.
Selbst die vom kommerziellen WordPress-Unternehmen Automattic selbst zur Verfügung gestellten PlugIns, benötigen zumeist eine gültige Verbindung zu wordpress.com. Als Konsequenz ergibt sich ist eine direkte Verbindung / Übertragung von personenbezogenen Daten. Jedes PlugIn rühmt sich mittlerweile #DSGVO konform zu sein, aber ist dem auch wirklich so. Es belibt also keine andere Möglichkeit als nach jeder Installation und jedem Update eine Prüfung durchzuführen. Mühevoll, Zeitaufwand vs Nutzen?

Denn in weiterer Folge sollte / muss der User (Besucher der Website) genau darüber informiert werden, welche PlugIns auf der besuchten Internetpräsenz verwendet werden. Ich kenne noch nicht viele Datenschutzerklärungen die darüber aufklären.

Ja, auch Google Services sind wie zB WebFonts sind datenschutzrechtlich relevant, da personenbezogene Daten in Form der IP-Adresse an einen Drittanbieter wie Google übertragen werden.

Bedeutet zusammengefasst, jedes neue Plugin erfordert eine #DSGVO Prüfung der Internetpräsenz und ggf. eine Anpassung der DSE, auch nach einem Update.