 So ist es, ich habe ja schon mal einen Slight zur Einstimmung, findet ihr die Fehler? Werden hat auch schon gesagt, das ist genau, ja, da oben, ja wird eingebunden und dann was der Fehler? Das ist überhaupt eingebunden. Wir beschränken uns auf den Google Analytics Part. Also was immer den Entwickler hier dazu gebracht hat, hier oben Google Analytics einzubinden ohne Anonymisierung, hier und hier unten nochmal, habe ich nicht verstanden, weil hier oben wird es ja gar nicht anonymisiert, hier unten wird es anonymisiert. Allerdings nützt es dann auch nichts, wenn man das in dieser Reihenfolge macht. Also hier an dieser Stelle mit dem Create wird jetzt die ID gesetzt, dann wird der PageView gesendet, an Google nicht anonymisiert und dann wird gesagt, ach übrigens, ich hätte es gerne anonymisiert. In dem zu dem Zeitpunkt ist das Kind allerdings schon in den Brunnen gefallen. Mal abgesehen davon, dass in dem Fall hier oben das ganze hier ohnehin nicht anonymisiert schon längst übermittelt wurde. Also ja, das so etwas findet man. Wie bitte? Ja, so, ja, genau. Also herzlich willkommen zu meiner Session. Oh no, DSGVO. Ich habe im Supportforum und auch bei Kundenprojekten immer wieder DSGVO-Konformität umsetzen dürfen müssen und habe dabei so viele Merkwürdigkeiten gefunden und ärgere mich vor allem jedes Mal wieder regelmäßig über halbseitende Artikel, die beschreiben, wie man das macht, wo die Leute weder Ahnung von dem Recht haben noch von der Technik und mir erzählen, wie ich das ganze jetzt umsetze, was nicht so viel nützt. Und ja, das kommt noch nicht mehr von Facebook, es sind ganz normale Blockartikel, die man so findet, wenn man danach sucht. Das ist, ja, und ich werde euch jetzt ein bisschen in den nächsten halben Stunde mitnehmen auf eine Reise durch diese halbseitenden Artikel und was sie empfehlen und wo man dann als Leihanfänger jedes Mal regelmäßig dran scheitert. Also vor allem, wie macht man DSGVO-konforme Website? Man braucht auf jeden Fall eine Datenschutzerklärung. Die Datenschutzerklärung macht man, weil wir alle voll sind, natürlich mit einem Generator. Das ist so, also typischerweise das, was passieren wird und das sind auch häufig die Tücken, die uns dann begegnet werden. Wie schrieb jemand auf Twitter so schön, schön, jetzt haben wir automatisierte Texte, die wir nicht lesen für unsere Nutzer, die die Nutzer nicht lesen. Und ja, wo kann man da überall so ins Klo greifen? Zum Beispiel glaubt ein sehr bekannte Firma, die eine Datenschutz-Klerungsgenerator anbietet, das Sheriff Plug-in von GitHub entwickelt wird. Das steht da als Sitz und wenn man danach sucht, dann findet man sehr viele Seiten, die das in ihrer Datenschutz-Erklärung weiterhin durch die Gegend treiben. Er hat versucht auf Twitter per Mail, die zu informieren und zu sagen, ihr habt ein Fehler, das bitte korrigieren. Ich bin der Entwickler, das scheint die nicht zu interessieren, das ist nach wie vor, ich habe es nochmal getestet, die Ausgabe des Generators, auch nach mehrfachem Hinweis, dass das Quatsch ist. Und die spannende Frage ist, was passiert, wenn ich so etwas in meiner Datenschutz-Erklärung habe und wem fällt das auf? Und in dem Stil geht das jetzt lustig weiter. Ich weiß, es ist ein bisschen Public Shaming, aber es sind alles Fälle, wo ich weiß, dass sie öffentlich mehrfach darauf hingewiesen wurden. Auch bei Trusted Shops haben wir hier das Problem, warum benutzen wir diese JavaScript Opt-Out-Lösung für Google Analytics, weil die typische Weise in den Datenschutztexten steht, benutzt das Browser Plug-in. Das Browser Plug-in nützt mir bloß nichts, wenn ich zum Beispiel mit einem iPhone auf die Webseite gehe, dann kann ich keinen Browser Plug-in installieren, also brauche ich eine andere Möglichkeit, mich den Opt-Out zu machen. Das kann ich per JavaScript ein Cookie setzen, was ich möchte, nicht getrackt werden. Dafür muss allerdings ein Script installiert sein. Also dieses JavaScript, diese Funktion muss da sein und sie muss aufgerufen werden. Es gibt alle möglichen Varianten, wie man das verkacken kann, wie man das technisch ein Problem haben kann auf seiner Seite. Zum Beispiel bindet man einfach das JavaScript nicht ein, dann geht der Call ins Leere und man wundert sich, warum nichts passiert. Oder man wechselt beim Classic Editor einfach mal in die visuelle Editor-Ansicht. Dann sind diese JavaScript-Doppelpunkt-Links, nämlich WAC, in WordPress, weil die rausgefiltert werden und dann bleibt so ein Link übrig. Das REL NO FOLLOW ist noch übrig geblieben, aber der JavaScript-Link ist rausgefiltert. Ich werde eine spannende Frage, ob das mit Gutenberg immer noch passiert. Ich habe es nicht getestet. Nee, ich bin Admin, dass JavaScript-Links werden, auch so im visuellen Editor rausgefiltert. Ja, und dann sieht das so aus. Und auch hier habe ich mehrfach auf Twitter, per E-Mail, an verschiedenen Adressen, ich habe sogar Antwort bekommen mit Rückfragen, aber das Problem ist nach wie vor online, auch das nochmal getestet. Wie löst man so etwas? Wenn der JavaScript-Link ausgefiltert wird, kann man einen Shortcode benutzen, der das einbindet. Es gibt diverse Plugins, die so eine Funktionalität nachrüsten. Es gibt Google Analytics opt out von dem Florian, Google Analytics germanized, opt out von Google Analytics. Alles Plugins, die auf die ein oder andere Formen Shortcode anbieten, mit dem man dann diesen JavaScript-Link einsetzen kann. So, kommen wir zum Thema YouTube-Videos. Auch das ist ein Fall, wo, wenn man die einschlägen und weiterkopierten und weiterkopierten Hinweise liest, es dann immer heißt, ja, da kannst du das Plug-in installieren oder dies Plug-in installieren. Es sind aber alles Lösungen, die nicht mit der Kreativität der Entwickler rechnen, wie viele verschiedene Arten man YouTube einbauen kann. Die offensichtlichen sind natürlich, dass ich das OM-Bat von Wordpress nutze. Also den Link zu YouTube in einer Zeile macht Wordpress ja automatisch ein YouTube-Video draus. Das ist dann die Zeile hier oben. Es gibt dann noch die Variante mit dem erweiterten Datenschutz. Das ist YouTube-No Cookies, wird dann als Adresse benutzt. Auch die wird per OM-Bat dann zu einem YouTube-Video. Es gibt noch diesen Short-Link, YouTube.be, alles links, wo man auf die Idee kommen könnte, so YouTube-Videos einzubauen. Und dann gibt es natürlich noch den OM-Bat-Code, die man sich von Google holen kann und das einfach so in den Text-Editor zu packen und das auszugeben. Und je nachdem, welche dieser fünf Varianten, die am offensichtlichsten sind, scheitern die Plugins an der einen oder anderen Stelle. Es gibt Wordpress selber natürlich mit dem OM-Bat, also automatisch ein YouTube-Video daraus zu machen. Funktioniert schon mal nicht für die No Cookie Variante, die uns ja irgendwie jetzt zumindest ein bisschen weiterhelfen würde für die Datenschutzgrundverordnung. Das scheint aber irgendwie ein technisches Problem zu sein. Es gibt ein Trackticket dazu. Funktionieren nicht. So, dann wird häufig empfohlen, dass Plug-in-Mbat-Videos und Respect Privacy auch schön funktioniert, aber nicht für den M-Bat-Code. Und insbesondere, wenn man eine große Userbasis hat, wenn man also viele Redakteure, Autoren hat, die schreiben, wenn jemand auf die Idee kommt, dann den M-Bat-Code zu benutzen, dann nützt mir mein schönes Plug-in leider auch nichts mehr, weil es nicht greift. Dann gibt es noch YouTube-Light, auch eine häufige Empfehlung von dem Entwickler, der auch Out Optimize nutzt, entwickelt hat. Das macht schon echt viel richtig. Das funktioniert ziemlich gut. Es ist auch gut anpassbar, konfigurierbar. Scheitert allerdings an YouTube-No-Cookies-Domain, weil es die nicht nutzt. Also auch da nicht die perfekte Lösung und immer die Möglichkeit, dass ein Plug-in-Entwickler oder Redakteur eben den Code diese Domain benutzt und dann das YouTube-Video ganz normal eingebunden wird. Jetzt haben wir gerade gestern den Fall, wo Udo Michael auf das Problem hingewiesen hat, wenn wir vielleicht, selbst mit der YouTube-No-Cookies-Lösung, wird noch ein Request an Google gesendet, nämlich der, um das Coverbild zu holen. Damit bin ich quasi nicht sehr viel schlauer, jetzt was die DSG vor Ohren geht, weil die IP-Adresse ja trotzdem bei Google landet, wird jetzt vielleicht weniger gemacht, aber das Grundproblem, ich gebe eine persönliche Information, nämlich die IP-Adresse meines Besuchers an YouTube weiter ist nicht gelöst. Und jetzt könnte man ja auf die Idee kommen, dann hoste ich das Coverbild selber, ungünstig, weil ich habe ja das Urheber recht gleich. Wer gerade in der Session von Udo war, das ist halt ein Problem, wenn ich jetzt nicht selber das Video gemacht habe und die Rechte darin habe, dann habe ich die Nutzungsrechte nicht an diesem Bild. Ich kann also nicht einfach ein Bild dann auf meiner Webseite hosten. Die einzige Lösung wäre, so ein generisches Bild zu nehmen, das mir gehört und das Coverbild zu verwenden. Häufig nicht das, was der Kunde will. So, nächster Punkt, Datenschutzgeneratoren war ja mein Problem. Es gibt aber keine Konsistenzprüfung, was sinnvoll ist oder so und häufig sind diese Generatoren jetzt nicht zwangsläufig technisch so tief in der Materie, dass sie Abhängigkeiten verstehen oder geprüft hätten. Zum Beispiel weiß ich nicht, wie vielen Leuten hier im Raum schon geläufig ist, dass wenn sie Google Maps einbinden, dieser Google Map-Kasten, der da geladen wird, immer, immer auch ein Google Font nachlädt. Insofern ist diese Kombination, die ich tatsächlich bei, in diesem Fall ist es der von Thomas Schwenke, dass ich Google Fonts nicht anwähle, aber Google Maps ja eine Kombination, die niemals richtig sein kann und dieses System, der Generator warnt mich davor auch nicht und sagt, Achtung, es geht nicht oder das ist verpflichtend, das darfst du nicht anklicken oder so. Dieser Generator ist nun Hilfsmittel für uns, ein Werkzeug. Wir können auch Quatsch einstellen und in diesem Fall dürften wir halt nie Google Maps ohne Google Fonts benutzen, weil das immer Quatsch ist, immer nicht richtig ist. Zumindest in dem aktuellen technischen Stand lädt Google Maps immer ein Google Font. Google Fonts, anderes Thema, wie entfernt man die Dinger? Da haben wir so ein ähnliches Problem wie bei YouTube. Die Thiementwickler, Plackenentwickler haben sehr kreative Wege, sie haben Kram einzubinden und von den ganz kreativen Fällen, wie gibt einfach den hinteren Part der URL an und ich basteln mir dann den Link selber zusammen, habe ich ja noch gar nicht angefangen. Das Problem ist, wenn nicht die typischen WordPress Wege genutzt werden, also dieses Enquil von, also diese Ladereihenfolge, Eingliedern, wenn ich nicht diese internen Funktion von WordPress nutze, dann ist es echt schwer heranzukommen, wo wird denn der Kram geladen? Und es gibt tausende Themes, nicht nur im offiziellen Verzeichnis, sondern auf allen möglichen Marktplätzen, privaten Teamshops, Verkäufern etc. Ich habe keine Ahnung, wie man das ernsthaft so baut, dass das überall funktioniert. Es gibt natürlich die Variante, einfach den gesamten HTML-Output irgendwie sich anzugucken und zu filtern und dann rauszugeben, aber das ist kein performanter Ansatz, insbesondere bei Seiten, die man nicht caching kann, Shops und dergleichen, die eben vom caching ausgenommen sind, da haben wir gar nicht die Möglichkeit so zu arbeiten. Und auch da werden immer in den Artikeln Plugins empfohlen, wie man den Kram entfernt. Das ist sicherlich nicht die Allheillösung und in den Artikeln steht häufig eben nicht, dass das nicht die Allheillösung ist, sondern man geht davon aus, dass funktioniert, wenn man das eingerichtet hat und in den seltensten Fällen haben die Menschen dann auch immer die Möglichkeit zu testen, ob das Problem wirklich gelöst ist, ob das wirklich nicht geladen wird. Also wer guckt dann die Web Developer Tools an und also wenn ich mal genau den Wort laut mir anschaue, den du gesagt hast, ich gehe in den Seitenquelltext und schaue, ob Google da steht und denke ich wäre sicher, dann bin ich schon auf die Nase gefallen, weil in der CSS-Datei einen Klick später habe ich einen Ad-Import, wo das geladen wird. Also da müsste man sich dann schon eben den Netzwerk-Tub angucken und wirklich schauen, welche Requests gehen denn raus. Und damit hat man immer noch nicht so was erschlagen wie auf allen Seiten richtig, aber leider auf der einen Seite eben, wo die Google Map eingebunden ist, wird die Komponente dann doch nachgeladen. Also eigentlich müsste man sowas machen, wie gehe die gesamte Seite crawl die quasi durch und guckt in jeder Seite nach den Requests und das sind so Sachen, ja wer macht das denn? Also wer hat die Möglichkeiten dazu, das technisch eben dann wirklich einzuschätzen. Ich will euch jetzt gar nicht irgendwie Panik mache irgendwie damit, zeigen, dass da häufig einfache Lösungen versprochen werden, die aber keine einfachen Lösungen sind. Dafür gibt es ja dann auch Entwickler wie uns und die sich damit auskennen und solche Talks dienen heute. Es ist ja eben abhängig von Themes und Plugins, die man nutzt und das muss man immer im Hinterkopf behalten, was passiert da, dass man seine Kunden entsprechend beraten kann. Das ist halt kein Selbstgänger, ja da installiere ich einen Plug in einem Passer schon. Und das wird einem einfach zu häufig versprochen. Jetzt wird noch edge case-iger, also noch nischiger. Da hat man sowas wie jetzt LED, das Plug-in, irgendeine Komponente von RawGit. RawGit ist nun ein Beispiel, das ist eine, wenn man von GitHub eine Komponente LED, dann hat die nicht den richtigen MimeType, weil GitHub nicht als CDN missbraucht werden möchte zum Hosting von Komponenten. Und dieses RawGit macht quasi ein Service, der dazwischen geschaltet wird, der holt sich die Komponente von GitHub und liefert sie mit dem richtigen MimeType aus. Als echte Textartei oder als echtes Bild, echte Javascriptartei, etc., also mit dem richtigen MimeType. So, das Problem ist, RawGit ist eine Lösung, die einen Entwickler mal für sich brauchte, die er schnell zusammengecoded hat, auf eine Website geschmissen und gesagt hat, hier wer es gebrauchen kann, ich dachte mal, ich stelle das für alle zur Verfügung. Und dann fragt man mal in dem GitHub-Repo nach, hast du denn dafür auch eine Privacy-Policy, die ich verlinken kann, wo ich sagen kann, was machst du denn mit den Daten, die da bei dir ankommen und kriegt als Antwort nur, ja, nee, hab ich nicht. Und dann stehe ich vor einem Problem. Jetzt muss ich nämlich das Plug-in rausschmeißen, dass diese Komponente so lädt, weil ich nicht weiß, was ich meinen User sonst schreiben soll in der Datenschutz-Erklärung. So, ich hab hier ein Dienst, der sagt mir aber nicht, was er mit den Daten macht, ihr müsst einfach mal vertrauen, dass der das schon richtig macht, ist halt irgendwie nicht so eine schöne Sache. Und es wird noch komplizierter, weil der ist ja gar keinen CDN, also der nutzt dann noch einen CDN dahinter, nämlich Stackpath. Den hab ich dann auch noch quasi in meiner Datenschutz-Erklärung. Und das muss ich erst mal wissen, also das muss ich erst mal verstehen, was macht der eigentlich und dann quasi die Kette nach hinten in der Nutzung. Und das kann ganz schön intensiv sein bei der Recherche, wenn man sich anschaut, welche Plug-ins nutzen eigentlich, welche CDNs, mit welchen Datenschutz-Erklärungen. Und die müsste ich eigentlich alle angeben in meiner Datenschutz-Erklärung, weil ja die Daten meiner Benutzer eben dann dort landen, eigentlich eine Sache, die für den autonormal Benutzer kaum zu händeln ist. Und gerade bei Amerikanern, da auch kein Gespür dafür da ist, dass sowas dann von den Europäern gebraucht wird. Es gibt aber noch eine Steigerungsform, dass die Menschen einfach sagen, Nini, das passt schon. Also wirklich kannst du uns glauben, das ist eine Original Mail, die ich bekommen habe, als ich für einen Kunden danach gefragt habe. Und das ist eine deutsche Firma, der wird ein Video von denen hot gelingt, also das soll so sein, die das hosten. Und ich habe halt nachgefragt, so ja, ich baue halt für die Datenschutz-Erklärung ja noch irgendwie mal einen Text von euch, was ihr mit den Daten macht. Und dann kam eine E-Mail zurück, die man da sieht, wo sie einfach mir gesagt hat, ja, das passt schon, wir tracken nicht. So ja, das ist schön. Ich würde euch das auch echt glauben, wirklich, aber ich hätte doch gerne lieber was Schriftliches, was ich verlinken kann. Nini, haben wir nicht. Und dann steht man da. Ich habe mit dem Geschäftsführer telefoniert, das ist ganz witzig. Also für mich nicht witzig, also witzig, dass man so naiv sein kann. Ja, kommen wir zur Skalierbarkeit. Auch so ein Problem, dass ich dann, was mir aufgefallen ist, ich habe für sehr viele Kunden das gemacht. Und dann haben wir dafür, also in der Agentur E-Rect24 genutzt, so ein Generator eigentlich ganz gut. Und dann kam das erste Update, das zweite Update, das dritte Update. Und dann waren da kaputte Links, die auch von Facebook zum Beispiel nicht weitergeleitet werden. Also sind das jetzt 404s in der Datenschutzerklärung. Und ich dachte, das müsste man jetzt mal machen. Wie es bei allen 200 gleichzeitig einzeln, ich muss da ja auf die, ich muss mich einloggen. Gucken, was haben die da, welcher Text wurde, dann muss das alles manuell ändern. Also wer immer sich bequem würde, sich einen Anwalt zu suchen oder einen Placken dafür zu schreiben, wo man diese Bausteine einzeln hat und die sich selbsttätig aktualisieren würden. Also ich glaube, es würde einem wie geschnittenen Brot aus, also verkauft werden. Ich habe dafür noch keinen vernünftigen Workflow gesehen. Auf dem Barcamp Kiel habe ich einen Vortrag gehören von jemandem, der Datenschutz Grundverordnung auch für Kunden umgesetzt hat und die haben ein ganz tolles System gehabt, dem sich einen Anwalt gesucht. Der hat die Texte gecheckt, hat die Haftung dafür übernommen und dann haben sie das bei den Kunden eingebaut und auf die Rückfrage wieder skaliert und was passiert, wenn da was geändert wurde, dann sagst du, wieso ist doch gecheckt, du hast doch jetzt die Haftung dafür übernommen, das ist doch nicht mein Problem. Das ist ja schön, aber wenn dann 404 in der Datenschutzerklärung ist, sich irgendwas ändert, dann müsste die das doch anpassen. Und wie wollt ihr das machen, wenn ihr nicht nur fünf Kunden, sondern 500 Kunden oder 5000 Kunden habt, das funktioniert auch nicht. Und da habe ich noch keine vernünftige Lösungen für gesehen. Ja, bitte? Ja, sehr schön. Ja, cool, kannte ich noch nicht. Das ist ein schöner Tipp. Danke. Wiederhole das einmal kurz für die Menschen, die das Video dann gucken. Janu Law wurde als Tipp gegeben, eines Dienstes und User Sandrix, ein Dienst, der nicht worperspezifisch ist, der das per Javascript snippet, quasi dann von extern holt. Falls du das nochmal findest oder so, kannst du ja nochmal irgendwie über den Hashtag Twittern oder so, dann kann ich das auch nicht die Slides noch einbauen oder so, dann haben wir das noch als Tipp. Du hattest noch dich gemeldet? Das können ganz verschiedene Sachen sein. Also hier, das ist der Auszug bei E-Rech 24 bei den Updates, was man, was sich da geändert hat. Und das sind zum Beispiel Verlinkungen in verschiedenen verschiedenen Anbietern, Facebook, Facebook Connect, Facebook Pixel, Google AdWords und so weiter. Da sind zum Teil einfach links auf Datenschutzerklärungsseiten bei Facebook, die sich geändert haben. Und das Problem ist, dass die Datenschutzerklärung bei Facebook der alte Link nicht weiterleitet. Das heißt, ich behaupte in meiner Datenschutzerklärung, du findest mehr Informationen, um, was ich den Opt-Out zu machen, auf dieser Seite. Und wenn der User draufklickt, landet er auf einem 404. Was sich Google hat, sich von der Google Ink zu Google LLC, dann stimmt die Angabe, wenn ich den Firmennamen da angegeben habe, nicht mehr. Keine Ahnung, ob das jetzt abmannwürdig ist, für mich relevant ist. Aber ein Opt-Out Link, der ja verpflichtend ist, dass ich eine Opt-Out-Möglichkeit anbiete und er landet auf einem 404, das wahrscheinlich schon dahin, oder? Genau. Ich wiederhole es einmal ganz kurz, in welche Texte sich ändern können, ist natürlich auch deshalb relevant, weil sich die rechtliche Einschätzung aktuell immer noch ändert, weil die Rechtsprechung ja jetzt erst passiert und sich deshalb die Einschätzung ändern kann und dann deshalb die Texte angepasst werden. Und die zweite Info war, dass natürlich die immer wieder Plugins, Dienste dabei sind, die durch die Generatoren gar nicht abgedeckt werden und dementsprechend diese Passagen manuell hinzugefügt werden und die bei einer automatisierten Aktualisierung rausfallen oder nicht erwähnt werden. Technisch könnte man das, glaube ich, lösen, indem man wirklich jede Sektion einzeln macht. Dann hat man da irgendwie 15 Shortcodes, wo dann was ich nicht, das Snippet für Google Analytics, Snippet für Facebook entsprechend einzeln auftaucht. Das könnte vielleicht eine Lösung sein, dass man an jede expeditivige Stelle seinen individuellen Text da noch mit reinschreiben kann. Aber wenn sich da zum Beispiel auch was ändert, wenn man jetzt irgendwie ein Dienst eingebaut hat, die haben auch eine Datenschutzerklärung, also ein Textbereich, den man in seine Datenschutzerklärung einbauen kann, man macht das super, aber darüber informiert werden, dass der sich aktualisiert ist, dann solange die keinen Service dafür anbieten, eben dann auch nicht gewährleistet. Es gab noch eine Wortmeldung? Ach so, das gleich, alles klar. Also ich wüsste nicht, dass die DSGVO irgendwas mit Faxnummern zu tun hätte. Es gibt bei dem Impressumspflicht, gibt es diese Diskussion, dass ich glaube nicht, dass Telefax, also in allen Generatoren, die so sehen, was das immer, ja, ist nicht klar definiert und wer was denn genau und inzwischen ist, das glaube ich technisch einfach überholt. Also ich glaube das nicht mehr relevant ist, dass man voraussetzen könnte, ein Faxgerät haben zu müssen. Berittene Boten sind auch nicht vorgeschrieben. Es ist glaube ich durch das Thema. Ja, ich mache mal weiter. Ich bin auch schon, ich weiß gar nicht, wie zeitlich, ich bin sehr, bin schon gleich durch, dann kann man müssen freier quatschen, was ihr noch so an Fragen habt. Also mein Abschlusspunkt, Jetpack. Jetpack hat behauptet ja, dass das DSGVO conform ist oder sein kann. Und ich habe mir einfach mal den Spaß gemacht, nur eine Sache tiefer mir anzuschauen und bin dann gleich auf was gestoßen, wo ich zumindest rechtlich dann strauche. Also es gibt der Jetpack Sharing, dann hat man unter dem, das was Sheriff macht, man hat unter dem Beitrag die Teilen Buttons von den verschiedenen Social Media Kanälen und jetzt wird neben dem Anbieter auch ein Count angezeigt. Und dieser Count, den zieht er sicher von dem Anbieter. Und wo finde ich denn darüber eine Information, dass das passiert? Also bin ich mal auf die Suche gegangen. Der Artikel hier oben ist so eine Einstiegsartikel, wo sie sagen Jetpack ist jetzt GDPR, also DSGVO conform und das und das haben wir gemacht. Und dann gibt es eine Hilfeseite, die aber auch quasi innerhalb des Tools aufrufbar ist, wo man sich seine Text Snippets ausgeben lassen kann, je nachdem, welches Modul man aktiviert hat. Und dann habe ich mal nur Jetpack Sharing ausgewählt und das ist also dieser Snippet Text, den ich dann angezeigt bekommen. Da steht eben, welche Daten, wann, wie genutzt werden. Da steht überhaupt nichts davon, dass Facebook nach, also gefragt wird und den irgendwelche Daten geschickt werden. Und in der Privacy Policy for an Automatic, die er quasi auch immer mit verlinkt ist, finde ich nur kryptische Hinweise zum Thema, ja, wir teilen auch Daten mit Drittanbietern. Das ist aber auf Englisch und liefert jetzt auch keinen konkreten Hinweis zu Facebook zum Beispiel. Und ich kann das deaktivieren bei einem Filter. Ich befürchte, dass das für Leinen jetzt nicht so ersichtlich ist, dass das möglich ist, dass man diesen Counter ausschalten kann. Und wenn ich mir den Netzwerk tab angucke, wo jeder Request der Webseite aufgelistet wird und Jetpack Sharing ist aktiv, dann sehe ich halt, da wird Graph.Facebook.com aufgerufen, um diesen Counter zu holen, diese Zahl. Und damit hat Facebook meine IP-Adresse als Besucher. Und also, DSGVO soll ja leihenverständlich sagen, was mit meinen Daten passiert. Also, ich würde mich jetzt mal nicht mal ganz als Leinen definieren und ich habe auch nach Lesen aller dieser 3 Artikel nicht einen blassen Schimmer davon, dass meine Daten bei Facebook landen könnten, wenn ich dieses Tool nutze. Ja, ja, ja, das betrifft nur die E-Mail-Funktion. Also, wenn du teilen wie er E-Mail macht, dann nur dann greift das. Das liegt daran, dass das genutzt wurde, um zu spammen und die irgendwie einen Filter davor brauchten. Deshalb haben sie das verpflichtend gemacht. Ja, da kann man also auch auf die Nase fallen, weil ich sehe da keine ausreichende Information der User dazu. Und dieser Filter, ich kenne den jetzt, aber jetzt kennt ihr den auch. Aber ich glaube, dass das nicht so viele Menschen nutzen, die es tun müssten. So, und einen habe ich noch. Was passiert eigentlich, wenn ein Cookie-Banner ist ja noch nicht verpflichtend, wird dann vielleicht mit der E-Privacy-Verordnung kommen. Was passiert eigentlich, wenn diese lustigen Banner, die man so sieht, wenn die eigentlich über, also die Amerikaner haben ja meist nicht im Futter diese Impressum-Datenschutzverlinkung, weil sie sie nicht brauchen, nicht verpflichtend brauchen, wie er schon. Und wenn das jetzt in der Fußzeile ist und dieser Banner da ungünstiger Weise genau drüber liegt, würde ich mich jetzt mal fragen, ob man rechtlich seiner Pflicht nachgekommen ist, seinen Impressumslink leicht zu finden, auf seine Seite einzubauen, wenn da dieser Banner drüber liegt. Wenn ich nämlich den Link nur dann anklicken kann, wenn ich auch akzeptieren klicke, weiß ich nicht, ob man von Einwilligung sprechen kann oder nicht von Erpressung oder Nötigung oder keine Ahnung, was das rechtlich dann ist. Auch da, ich bin ja kein Jurist, keine Ahnung. Ich würde das mal spontan als Problem ansehen. Udo kann da bestimmt mehr zu sagen. Ach schon, genau, da kommen wir, ich wiederhole es nochmal kurz für das Video, die Variante gibt es auch, dass die Cookie-Banner nicht responsive sind, sodass wir den schließen oder akzeptieren Button, also der aus dem Layout läuft. Und da sind wir wieder bei genau der technischen Komplexität, die hier das Thema ist. Da braucht man nur oben im Header einstellen, dass, wie heißt der Befehl noch gleich mit dem, wo ich definieren kann, Minimum-Scale, Maximum-Scale. Und da gibt es diverse Themes, die dann einfach sagen, zeigt mir das genau in der Größe an, wie ich das eingestellt habe und du darfst auch nicht größer skalieren. Was total doof ist, weil das bedeutet, dass ich auf Smartphones, auch wenn ich gerade meine Lesebrille nicht dabei habe, nicht reinzoomen kann, weil der Entwickler sagt, nee, du musst das genauso in dieser Größe angucken, wie ich das möchte. Was aber auch bedeutet, dass wenn irgendwas im Layout mal schiefläuft und aus dem Layout läuft, man auch nicht durchzoomen oder so, da sich das vielleicht doch noch irgendwie sichtbar machen kann, weil ich kann ja nicht zoomen, also bleibt es genauso, wie es ist und das Layout, also der Button ist vielleicht aus dem Layout geschoben. So, da sind wir schon durch und ja, bin offen für Fragen und ja, gute Hinweis innerhalb des Backends gehen wir davon aus, naja, Wortpaß selber macht das ja nicht mehr, Google von uns nachladen. Wir haben bei Gutenberg jetzt quasi eine neue Situation durch Themes, durch Backends ohnehin die Möglichkeit, was nicht so problematisch ist, wenn wir als alleiniger Admin in unserem eigenen privaten Block sind, was aber vielleicht durchaus interessant sein kann, ist, wenn wir eben Multiautoren haben, wenn wir Redakteure haben, die eigentlich darüber eben informiert werden müssten und einwilligen müssten, dass, ja, genau. Eigentlich meine ich mit, dass es eben nicht getan wird und wir es eben eigentlich müssten. Ich glaube, dass es getan werden müsste, ist relativ unstrittig. Ich gucke mal kurz zu Udo, ob er nickt, ja, er nickt, dann, ja, genau. Und vor allem da so Einwilligung, Informationslage, alles mal auf den Prüfstand stellen, wie, wie, wie hat man da, wie hat man das da aufgebaut, wo wird eben was geladen, welche Komponente direkt neben dir? Ach so, ich dachte, es wäre eine Meldung. Noch nicht, es gibt, wie gesagt, Privacy-Verordnung ist ja noch nicht durch. Das heißt, momentan, also, genau, genau, also der, die, also ist, es gibt tatsächlich Gründe, es gibt tatsächlich Gründe, dass man einen Cookie-Banner einbinden muss. Das ist zum Beispiel, wenn du AdSense auf deiner Seite einbindest, weil die in einigen Ländern, es gibt ja diese EU-Cookie-Richtlinie, die man in nationales Recht umsetzen sollte. Udo muss mich unterbrechen, wenn ich quatsch rede. Aber wenn ich das richtig verstanden habe, geht es darum, dass die Cookie-Richtlinie in nationales Recht umgesetzt werden sollte. Das haben nicht alle Länder gemacht, auch Deutschland nicht. Folglich gilt das nicht, aber in anderen EU-Ländern. Und Google war es zu blöd, in dem Land die einen AGBs haben und in dem Land die anderen und haben sich es einfach gemacht und gesagt, wenn du AdSense benutzt, dann schreiben wir einfach in unseren AGB vor, du musst einen Cookie-Banner benutzen und nach einer Einwilligung fragen. Das ist quasi der Grund, wenn es in den AGB von AdSense steht und du AdSense nutzt, dann musst du durch die AGB von AdSense eben verpflichtend diesen Cookie-Banner benutzen, die, da es die Cookie-Richtlinie nicht umgesetzt wurde, in deutsches Recht gibt es dafür keine Verpflichtung. Es gibt manche, die es eben trotzdem machen als Information. Guck mal, hier ist eine Datenschutzererklärung, hast du verstanden, dass es die gibt, klick mal hier auf akzeptieren. Das ist quasi schon mal ein Weg in die richtige Richtung. Aber eigentlich auch mehr nur Informationen. Guck mal hier, wenn du hier jetzt weiter bleibst, dann und falls du nicht getrackt werden möchtest hier, wir haben eine Datenschutzererklärung. Eigentlich, also wirklich relevant, helfen tut das ja noch nicht. Es gibt Plugins, die das dann besser machen, die wirklich fragen, was möchtest du denn für Cookies zulassen? Und dann gibt es ja technisch Notwendige Cookies, die zum Beispiel ein Cookie, der speichert, was im Warenkorb ist. Das ist technisch notwendig, da wird ja auch nicht irgendein Benutzerprofil erstellt, sondern es geht um den technischen Ablauf des Warenkorbs. Dafür wird der Cookie benutzt und für nichts anderes. Das sind auch session-basierte Cookies, die sind okay, da brauche ich keine explizite Einwilligung. Wenn ich aber einen Nutzerprofil erstellen will, um Analyse-Daten eben, Google Analytics und so, da ist die Interpretation der Datenschutzkonferenz der landesbeauftragten Datenschützer, habe ich das richtig halbwegs. Die waren der Meinung, dass für all diese Tracking-Geschichten eben eine Einwilligung notwendig ist und wenn das in der E-Privacy-Verordnung kommen wird, was ich nicht weiß, dann wäre das tatsächlich so, dass am Anfang, wenn du eine Webseite besuchst, du gefragt wirst, welche Cookies sollen denn zugelassen werden, dann sagst du, was zugelassen wird, sagst vielleicht nicht, ich möchte gar keine Cookies zulassen und dann darf auch der Skript gar nicht erst geladen werden, also es ist kein Opt-out, sondern ein Opt-in. Du musst nach Einwilligung gefragt werden und erst wenn die Einwilligung gegeben ist, wird das Google Analytics-Skript zum Beispiel geladen und wenn nicht, dann darf dieses Skript überhaupt gar nicht erst geladen werden. Das ist aber noch Zukunftsmusik. Wie gesagt, dafür gibt es dann eben Plugins, die das umdrehen. Das wird vielleicht auf uns zukommen, aber das ist wie gesagt noch nicht. Aber dass viele dieser Cookie-Constant Plugins, die informieren nur, da ist eine Datenschutzerklärung, klickt die, also wenn du die mal lesen willst, dann mach das mal, aber wirklich helfen bei dieser Einwilligungsgeschichte, da müsste man dann wirklich diese Opt-in-Lösung haben. Also fragen willst du das und erst dann der Skript laden. Genau, ich wiederhole noch mal kurz fürs Video. Udo sagt gerade, dass die, gerade bei Google Analytics jetzt schon die Einschätzung sein kann, die rechtliche Einschätzung sein kann, dass ein Opt-in notwendig ist und man, weil es eben Besucher tracked, dass das eben nur mit Einwilligung passieren darf. Dazu war mir gerade noch was angefallen. Genau, es gibt, Udo hat auch einen schönen Artikel gerade gepostet zum Thema Do-Not-Track-Header, der sehr interessant ist, wenn man sich zum Beispiel PIVIC anguckt, neuerdings Matomo, also in Google Analytics-Konkurrenzprodukt, wo es die Möglichkeit gibt, zu sagen, ignoriere den Do-Not-Track-Header und Tracke trotzdem, was rechtlich hiermit explizit vorgewarnt wird, das bloß nicht anzustellen. Wer die rechtlichen Details dazu wissen will, empfehle ich den Blog-Artikel von Udo dazu. Du hattest dich noch gemeldet. Oh ja, ja, u-e-u-bender, u-e-u-bender.com, okay, das war die, u-bender, okay, das war der Dienst, der er vorhin erwähnt wurde für die sich selbst aktualisierende Datenschutzerklärung. Damit kommen wir auch schon zum Ende, damit ihr genügend Zeit für Käffchen und Raumwechsel habt, machen wir hier Schluss. Falls ihr noch mehr Fragen habt, wendet euch gerne an mich, bin auf Twitter, Sodiak 1978. Ich wünsche euch noch viel Spaß auf dem Camp.