Autor: Tobi

Cortana-Websuche deaktivieren ab Windows 10 Version 1803

Windows 10 Logo

Mit Windows 10 Version 1803 hat Microsoft abermals Änderungen beim Deaktivieren der Cortana-Websuche durchgeführt. Die bisher bekannten Registry-Schlüssel funktionieren nicht mehr.

Cortana selbst lässt sich nach wie vor wie bei Windows 10 Version 1607 und höher deaktivieren. Zum Abschalten der Websuche muss jetzt aber an anderer Stelle eingegriffen werden. Die alte Methode über die lokalen Gruppenrichtlinien ist generell nicht mehr wirksam, weshalb hier auf die Registry-Variante zurückgegriffen werden muss. Dabei ist allerdings zu beachten, dass sich die Pfade bzw. Einträge geändert haben. So müsst ihr vorgehen:

  1. Den Ausführen-Dialog (Windows-Taste + R) öffnen und „regedit“ eingeben, damit der Registrierungs-Editor geöffnet wird.
  2. Anschließend zu folgendem Pfad navigieren:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Search
  3. Wenn der Schlüssel „Search“ im linken Verzeichnisbaum nicht vorhanden ist, muss dieser von Hand erstellt werden.
  4. Darunter müssen dann zwei neue „DWORD-Werte (32-Bit)“ mit dem Namen „BingSearchEnabled“ und „CortanaConsent erstellt werden.
  5. Beide erhalten jeweils den Wert „0
  6. Damit die Änderung aktiv wird einfach kurz Ab- und wieder Anmelden oder alternativ den Computer neustarten.

Die Deaktivierung erfolgt ab Windows 10 Version 1803 nicht mehr systemweit (HKEY_LOCAL_MACHINE), sondern nur separat pro Windows-Benutzerkonto (HKEY_CURRENT_USER).

Wie immer biete ich zur einfachen Umsetzung eine Registrierungsdatei an, die alle Änderungen in der Registry automatisch durchführt. Nach dem Herunterladen und Entpacken müsst ihr die reg-Datei mit einem Doppelklick ausführen und anschließend Ab- und wieder Anmelden oder den PC neustarten. Wenn auf dem Computer mehrere Benutzerkonten existieren, müssen die Anpassungen für jeden Nutzer einzeln ausgeführt werden.

Die populärsten Glücksspiele für Android

Android Logo

Glücksspiele erfreuen sich immer größerer Beliebtheit – und das nicht nur unter Menschen, die auch sonst gerne ins Casino gehen. Auch für klassische Gamer sind Glücksspiele mittlerweile eine gute Option, um einmal etwas anderes zu spielen. Hier findest du die beliebtesten Glücksspiele, die sich derzeit im Android Play Store downloaden lassen.

Play Store mit immer mehr Glücksspielen für Mobile Gamer

Mobile Gaming boomt – das wissen längst auch die Glücksspiel Anbieter im Internet. Aus diesem Grund haben die meisten Online Casinos längst eigene Versionen ihrer Spiele als Smartphone App im Angebot. Auch etwa der renommierte Anbieter Casumo ist mit einem breiten Angebot auf dem Sektor tätig. Die meisten dieser Apps kann man im Play Store downloaden. Die Vorteile dieser Apps liegen auf der Hand: Im Gegensatz zu Browser Glücksspielen, können diese Smartphone Apps besonders bequem überall gespielt werden. Dieser Glücksspiel-Kick für zwischendurch ist es, der Smartphone Glücksspiele so beliebt macht. Hier sind die Top platzierten von ihnen:

Platz 5: Zynga Poker Texas Holdem

Gerade noch in die Top 5 der populärsten Glücksspiel-Apps auf Android geschafft hat es Texas Holdem von Zynga. Das Spiel wurde bereits über 50 Millionen Mal downgeloaded, und hat eine Bewertung von 4,4. Grafik und Einstellungen werden ebenfalls mit 4,4 bewertet. Das Game bietet Live-Pokern mit anderen Mitspielern, und hat eine ganze Reihe von tollen Features zu bieten: Dazu zählt etwa ein VIP-Programm, bei dem man Chip-Angebote erhält. Weiters kann man in Ligen spielen, oder Freunde zum Pokern einladen. Insgesamt ein tolles Angebot, kein Wunder, dass Zynga Poker Textas Holdem es in die Top 5 geschafft hat!

Platz 4: Game Twist Slots

Diese App bietet seinen Spielern eine große Auswahl an Slotmachines. Um sich gleich noch besser aufgehoben zu fühlen, erhält man bei der Erstanmeldung 5000 Twists als Willkommensbonus geschenkt. Zu den verfügbaren Slotmachines zählen etwa die bekannten und beliebten Book of Ra, Lucky Lady‘s Charm, Roaring Forties, Hollywood Star., oder Golden Ark. Mit über 5 Millionen Downloads insgesamt und einer Bewertung von 4,3 schneidet Game Twist Slots auch in diesen Bereichen sehr gut ab.

Platz 3: Huuge Casino Slots

Auch Huuge Casino Slots bietet eine tolle Auswahl an Slot Machines. Die App besticht durch sehr farbenfohe Apps, und viel Abwechslung. Inzwischen konnten die Entwickler Huuge Global über 10 Millionen Downloads verzeichnen. Das Spiel ist ab 12 Jahren freigegeben, und konnte bei den Usern eine gute Bewertung von 4,6 Sternen erzielen. Neben den Slotmachines kann in dieser App auch an virtuellen Black Jack-, Baccarat-, und Roulette-Tischen gespielt werden. Ein rundum gelungenes Angebot.

Platz 2: Slotmania Casino Slots

Playtika hat mit Slotmania Casino Slots einen echten Hit gelandet – die App mit 160 gratis Slotmachines wurde über 10 Millionen Mal downgeloadet, und liegt auf dem zweiten Platz der aktuell populärsten Glücksspiele im Android Play Store. In der App sind, so wie in den anderen genannten Games, In-App-Käufe möglich, um die Guthaben an Spiele-Chips nachladen zu können. Bereits ab 0.83 Euro ist man mit dabei.

Platz 1: Slotpark: Slots, Casino & Spielautomaten

Die aktuell populärste App zum Thema Glücksspiel, ist Slotpark vom Hersteller Funstage. Bislang wurde die App zwar erst 1 Million Mal downgeloadet. Allerdings erobert das Game die Herzen der Spieler derzeit im Sturm. Riesige Gewinne werden hier versprochen, in einem Funpark ganz im Stile von Las Vegas. In diesem Game sind einige der bekanntesten Slotmachines spielbar, wie etwa Fairy Queen oder Mystic Secrets. Mit hohen Bewertungen zwischen 4,3 für die Grafik, und 4,4 für das gesamte Spieleerlebnis, bekommt Slotpark auch gute Noten von den Spielern ausgestellt. Es lohnt sich also, sich das einmal anzusehen, wenn man sich für Glücksspiele auf dem Smartphone interessiert.

Slotpark

Kategorien: Android Software & Apps

LineageOS 15.1 auf Xiaomi Redmi Note 5 installieren

LineageOS Logo

Gestern war es soweit: Die erste offizielle LineageOS-Version für das Xiaomi Redmi Note 5 (Codename „whyred“) wurde veröffentlicht. Damit konnte ich auch endlich mein neues Xiaomi Redmi Note 5 in Betrieb nehmen, welches seit einigen Wochen unbenutzt auf dem Schreibtisch liegt. Natürlich hätte ich das auch schon früher tun können, allerdings hatte ich keine Lust auf die inoffiziellen LineageOS 15.1 Builds, da hier keine OTA-Updates existieren und beim Wechsel auf die offizielle Version ein Clean-Install notwendig ist.

Im Vergleich zu meiner Anleitung „Xiaomi Redmi Note 4X – LineageOS installieren“ gibt es einige Unterschiede, weshalb ich die Vorgehensweise für das Xiaomi Redmi Note 5 detailliert beschreibe. Die Anleitung bezieht sich auf ein neu gekauftes Xiaomi Redmi Note 5 mit vorinstalliertem MIUI.

Bootloader entsperren

Im ersten Schritt muss der Bootloader entsperrt werden. Der Vorgang ist prinzipiell relativ einfach und nicht kompliziert. Im Vergleich zum Redmi Note 4X war neu, dass ich 360 Stunden (15 Tage) warten musste, bis der Unlock-Vorgang erfolgreich durchgeführt werden konnte.

Im Internet existieren bereits eine Menge Anleitungen, wie ihr den Bootloader bei einem Xiaomi Smartphone entsperren könnt:

  • https://www.chinahandys.net/anleitung-unlock-xiaomi/
  • https://wiki.lineageos.org/devices/whyred/install
  • https://forum.xda-developers.com/redmi-note-4/how-to/bootloader-unlock-variants-to-read-t3565459
  • https://forum.xda-developers.com/redmi-note-5/how-to/10-steps-to-unlock-phone-trouble-doing-t3795049

Custom Recovery (TWRP) installieren

Sobald der Bootloader entsperrt ist, muss im zweiten Schritt das Custom Recovery TWRP (Team Win Recovery Project) installiert werden. Die aktuelle Version 3.2.3.0 für das Redmi Note 5 gibts direkt auf der TWRP-Homepage. Hier eine Kurzübersicht der einzelnen Schritte:

  • ADB und fastboot auf dem PC / Notebook einrichten (ausführliche Anleitung)
  • Smartphone im Fastboot Modus booten (volume down und Power-Taste gleichzeitig drücken)
  • prüfen ob Gerät korrekt erkannt wird
    fastboot devices
  • TWRP-Recovery flashen
    fastboot flash recovery twrp-3.2.2-0-whyred.img
  • TWRP-Recovery booten
    fastboot boot twrp-3.2.2-0-whyred.img
  • Modifizierung des Dateisystems erlauben
  • ihr dürft nicht mehr in MIUI booten, sonst wird automatisch wieder das MI-Recovery wiederhergestellt (falls ihr MIUI nochmal nutzen möchtet benötigt ihr lazyflasher)

Für eine etwas ausführlichere Beschreibung verweise ich auf diese Anleitungen:

  • https://xiaomi.eu/community/threads/how-to-easily-install-twrp-recovery.30484/
  • https://forum.xda-developers.com/redmi-note-5-pro/how-to/redmi-note-5-hdr-samples-magisk-methods-t3798711

Custom ROM installieren

Zwei Drittel sind schon geschafft, jetzt folgt das Flashen von LineageOS und Co. Zunächst müsst ihr ein paar Downloads tätigen und die Dateien auf das Smartphone legen.

Achtung zu diesem Thema unbedingt die Ankündigung von Xiaomi und die beiden nachfolgenden Threads lesen. Wenn ihr bereits das Anti roll-back-Feature (anti 4) auf eurem Smartphone habt (ab Beta 8.7.6 bzw. Stable 9.5.19.0 und jeweils höher), kann das Flashen von Firmwares ohne Anti roll-back-Feature zu einem Brick (kaputtes Smartphone) führen!!!

  • https://forum.xda-developers.com/redmi-note-5-pro/how-to/index-everything-anti-roll-t3816219
  • http://en.miui.com/thread-3282063-1-1.html

 

Anschließend könnt ihr loslegen:

  1. In TWRP Recovery booten (volume up und Power-Taste gleichzeitig drücken).
  2. Im Recovery den Punkt „Advanced Wipe“ aufrufen und Dalvik, Cache, Data, System und Vendor löschen.
  3. Neue Firmware flashen (nur wenn ihr das Anti roll-back-Feature noch nicht habt und anti ).
  4. LineageOS 15.1 flashen.
  5. Open GApps flashen (direkt nach LineageOS und ohne Neustart!).
  6. Addons wie magisk oder su flashen.
  7. Smartphone neustarten (Reboot –> System).

Amazon Prime Day 2018

Amazon Prime Day 2018

Heute Mittag ist es soweit: Der diesjährige Amazon Prime Day startet. Die jährliche Rabattaktion ist exklusiv für Prime-Mitglieder vorgesehen und wird heuer 36 Stunden dauern. Letztes Jahr war die Aktion auf 30 Stunden begrenzt.

Der Amazon Prime Day 2018 startet am 16. Juli um 12 Uhr Mittag und endet am 17. Juli um Mitternacht. Neben den üblichen Angeboten wirbt Amazon dieses Jahr mit zahlreichen attraktive Angebote zu den hauseigenen Geräten. Unter anderem verspricht der Händler „die bisher besten Angebote von Alexa-fähigen Produkten wie Echo, Fire TV und Fire Tablets„. Außerdem sind dieses Jahr auch erstmals Echo-Geräte mit Bildschirm dabei. Darüber hinaus sollen Kunden exklusiven Zugriff auf neue Produkte erhalten, die es bisher nicht zu kaufen gibt. Unter den Angeboten befinden sich unter anderem eine Sound Bar mit Amazon Alexa Sprachsteuerung von Polk, eine smarte Körperanalysewaage von Omron oder die neue Grind und Brew Filter-Kaffeemaschine von Philips.

Wer noch kein Prime-Mitglied ist und in der Vergangenheit auch nicht war, kann die kostenlose 30-Tage-Probemitgliedschaft nutzen, um am Prime Day teilzunehmen.

Kategorien: Internet

Windows 10 1803: Probleme mit Enterprise CAs und Bitlocker

Windows 10 Logo

Windows 10 1803 hat noch einige Bugs, die vor allem in Firmenumgebungen zu Problemen führen könnten. Nachfolgend möchte ich auf zwei Themen genauer eingehen. Zum einen können 1803-Clients wohl keine Computerzertifikate von Enterprise CAs beziehen und zum anderen können BitLocker-Wiederherstellungsinformationen nicht ins Active Directory (AD) gesichert werden.

Keine Computerzertifikate von Enterprise CAs

Ein User hat im Microsoft-Forum das Problem geschildert, dass auf Windows 10-Clients nach einem Upgrade von 1709 auf 1803 keine neuen Computerzertifikate mehr angefordert werden können. Laut weiteren Kommentaren bezieht sich das Problem aber nicht nur auf PCs, die von 1709 aktualisiert wurden, sondern auch auf Neuinstallationen. Weiteren Analysen zeigen auf, dass der Ursprung des Problems vermutlich mit fehlerhaften bzw. fehlenden Zertifikat-Templates zu tun hat.

Es existieren zwar mögliche Workarounds, von denen aber keiner recht praktikabel ist. Wenn es nur um wenige Maschinen geht, können die Zertifikate beispielsweise von Hand unter 1709 exportiert und unter 1803 wieder importiert werden. Unschön aber machbar. Bei mehreren PCs rät Microsoft zur Aktivierung des Credential Guards, denn damit klappt der Bezug von Computerzertifikaten wieder. Allerdings steht der Credential Guard nur unter Windows 10 Enterprise zur Verfügung, d.h. Firmen mit Windows 10 Pro haben Pech gehabt. Des Weiteren ist die Aktivierung von Credential Guard nicht ganz trivial und sollte auch nicht unüberlegt passieren.

Die derzeit wohl beste Lösung ist die Nutzung von „certutil -pulse“, wie es der Kommentar von MelanieQu detailliert beschreibt:

Look into the SMSTSPostAction variable as one way to run commands post task sequence (Google search on „SMSTSPostAction gpupdate“ should return you some useful information. You can assign that variable cmd commands and when the task sequence has released, it will run them. This is a way you can run gpupdate post imaging and it may help with this scenario also.

The may be working for us. 4 out of 4 computers I just imaged with the fix below could connect to wireless on the login screen (prior to this those 4 out of 4 computers could never connect at the login screen). Testing more now, but appears to be a workaround.

1) Delete this key somewhere in the task sequence (don’t know for sure if this is needed, but I have added this for now based on someone’s suggestion above): HKLM\SOFTWARE\Microsoft\Cryptography\AutoEnrollment\AEDirectoryCache

2) Add a „Set Task Sequence Variable“ task where Task Sequence Variable = SMSTSPostAction and Value = cmd /c gpupdate /force && certutil -pulse && shutdown /r /f /t 5

After the task sequence finishes, you will be at the login screen for a little bit while GPUpdate runs then certutil -pulse will go fast then restart in 5 seconds. I think the restart time could be 0. I just currently have it set for 5 seconds. Setting SMSTSPostAction could be set anywhere in the task sequence. I am setting it as the last task and removing the normal Restart Computer last task.

Microsoft hat indes bestätigt, dass es sich um einen Bug handelt. Die Lösung sei aber sehr komplex, weshalb ein entsprechender Patch noch auf sich warten lässt.

Keine BitLocker-Wiederherstellungsinformationen im AD

Zugegeben, der Fehler tritt nur unter bestimmten Voraussetzungen auf, zeigt aber wieder einmal, wie gut die Qualitätssicherung bei Microsoft ist.

Das Speichern der BitLocker-Wiederherstellungsinformationen im AD funktioniert demnach nicht, wenn BitLocker unter lokalen Konten genutzt wird. Bei der Verwendung  von Domänenkonten funktioniert das AD-Backup problemlos. Mir ist klar, dass innerhalb einer Domäne, die wenigsten Firmen BitLocker unter lokalen Konten aktivieren. Dennoch sollte diese Konstellation trotzdem funktionieren, was sie aktuell nicht tut. Abhilfe schafft hier entweder die Aktivierung von BitLocker mit Hilfe eines Domänenkontos oder die Nutzung von Microsoft BitLocker Administration and Monitoring (MBAM).

Kategorien: Windows Windows 10

Amazon verschenkt E-Book an Prime-Kunden

Amazon Logo

Prime-Kunden aufgepasst: Amazon verschenkt gerade eins von fünf E-Books. Alles was ihr dafür tun müsst ist diesem Link folgen und das gewünschte Buch auswählen, sofern euch eins zusagt. Wenige Sekunden später werdet ihr bereits über den kostenlosen Kauf informiert. Ich habe mir „Aschekinder“ gegönnt, für was entscheidet ihr euch?

Des Weiteren bietet Amazon derzeit drei Monate Kindle Unlimited kostenlos. Das Angebot läuft noch bis zum 31. Juli 2018. Kindle Unlimited bietet euch Zugriff auf über eine Million E-Books und Tausende Hörbücher. Nach dem 3-monatigen Aktionszeitraum wird der übliche Betrag von 9,99 Euro pro Monat fällig, d.h. vergesst nicht frühzeitig zu kündigen, sofern ihr den Dienst nicht weiter nutzen möcht.

Kategorien: Internet

WPA3 verabschiedet: Neuer WLAN-Verschlüsselungsstandard für mehr Sicherheit

Der neue WLAN-Verschlüsselungsstandard WPA3 wurde erstmals Anfang des Jahres angekündigt. Rund ein halbes Jahr später ist es soweit: Die Wi-Fi Alliance hat WPA3 fertiggestellt und die Spezifikationen finalisiert.

Wusstet ihr, dass der heute gängige WLAN-Verschlüsselungsstandard WPA2 bereits 14 Jahre alt ist? Ziemlich erschreckend, wenn man bedenkt, was heute alles drahtlos per WLAN übertragen wird. Spätestens nach der im Oktober 2017 veröffentlichten KRACK-Schwachstelle sollte jedem klar sein, dass es nur eine Frage der Zeit ist, bis weitere Sicherheitslücken gefunden werden und WPA2 so unsicher wie WEP werden wird. Ähnlich durfte es auch bei der Wi-Fi Alliance abgelaufen sein, dem Firmenkonsortium aus über 300 Unternehmen, welches den WLAN-Sicherheitsstandard entworfen hat. Der jetzt verabschiedete WPA3-Standard basiert auf WPA2 und soll grundsätzlich auch abwärtskompatibel sein.

Eine große Schwachstelle von WPA2-Personal ist der Schlüsselaustausch. Hier lässt sich relativ einfach ein Offline-Wörterbuchangriff auf schwache Passwörter durchführen. Dafür ist lediglich die Aufzeichnung von Handshakes notwendig. Anschließend können offline Passwörter durchprobiert werden, bis das richtige gefunden wird. WPA3-Personal setzt beim Schlüsselaustausch auf das SAE-Verfahren (Simultaneous Authentication of Equals), welches auf dem Diffie-Hellman-Verfahren basiert. Diese Methode verhindert das Offline-Ausprobieren von Passwörtern. Der Angreifer muss mit dem Netz verbunden sein und jedes Passwort einzeln senden, was das millionenfache Ausprobieren (Brute-Force-Methode ) effektiv verhindert. Gleichzeitig wird durch Perfect Forward Secrecy (PFS) verhindert, dass verschlüsselt aufgezeichnete Daten im Nachhinein entschlüsselt werden können.

WPA3-Enterprise bringt die Unterstützung einer 192-Bit-Chiffre mit, welche für zusätzliche Sicherheit sorgen soll. Die neue Betriebsart ist optional und nicht abwärtskompatibel.

Gänzlich neu ist „Wi-Fi Easy Connect“. Damit soll das Verbinden zum WLAN deutlich vereinfacht werden, wenn z.B. IoT-Geräten ohne Display zum Einsatz kommen. Hierfür muss lediglich ein QR-Code mit einem Smartphone gescannt werden, welches bereits mit dem gewünschten WLAN verbunden ist.

Erste Geräte mit dem neuen WPA3-Verschlüsselungsstandard werden erst im Jahr 2019 erwartet. Theoretisch ließe sich WPA3 via Software-Update auf vielen Netzwerk-Geräten nachrüsten, allerdings dürften dies in der Praxis nicht viele Unternehmen anbieten.

Administrative Vorlagen (.admx) und Übersicht neuer Gruppenrichtlinien für Windows 10 Version 1803 verfügbar

Für das Windows 10 April 2018 Update hat Microsoft die neuesten administrative Vorlagen (.admx) zum Download bereitgestellt. Diese werden benötigt, um PCs mit Windows 10 Version 1803 via Gruppenrichtlinien zu verwalten. Die neuen Einstellungen hat Microsoft in einer Excel-Datei aufgelistet: Group Policy Settings Reference Spreadsheet Windows 1803

Leider hat es Microsoft auch dieses Mal nicht geschafft, die ADMX-Dateien ohne Fehler zu veröffentlichen. Auf die Schnelle konnte ich zwei Fehler entdecken:

  • die „wwansvc-admin-group-policy-data.adml“ ist überflüssig, da sie identisch zur „wwansvc.adml“ ist
  • Fehler in der „searchocr.adml“, was aber selber behoben werden kann
    • nach „<string id=“OCR“>OCR</string>“ fehlt eine Zeile
    • für die englische „searchocr.adml“:
      <string id="Win7Only">Microsoft Windows 7 or later</string>
    • für die deutsche „searchocr.adml“:
      <string id="Win7Only">Microsoft Windows 7 oder höher</string>

Download administrative Vorlagen (.admx) für Windows 10 April 2018 Update (1803)

Diese Hardware wird zum Twitch-Streaming benötigt

Twitch Logo

Twitch.tv, so heißt die Streaming-Plattform, die in den letzten Jahren für besonders viel Furore sorgte. Internetnutzer, die sich für Videospiele und eSport interessieren, kommen um dieses Portal kaum noch herum: Hier muss niemand einfach nur Zuschauer bleiben, sondern jeder Einzelne kann selbst auf individuelle Weise aktiv werden. Die dafür benötigte Hardware ist absolut überschaubar.

Die Geschichte von Twitch.tv im kurzen Überblick

Bei Twitch handelt es sich um eine Abspaltung der ehemaligen Streaming-Plattform Justin.tv: Der Videospielbereich dieses Portals wuchs damals derart stark an, dass sich der Betreiber entschied, diesen gesondert laufen zu lassen. Die Betaversion von Twitch ging 2011 online, 2012 gewann der Newcomer bereits den Webby Award in der Kategorie Videospiele. Nur ein Jahr später meldete die Plattform bereits 6 Millionen Kanäle und monatlich 45 Millionen Zuschauer, 2014 schlug dann Amazon zu und schluckte den Streaming-Giganten für volle 970 Millionen Dollar.

Inzwischen sieht es ganz danach aus, dass sich das Geschäft gelohnt hat, denn Twitch wächst unaufhaltsam weiter und offenbart damit aller Welt, dass das Zuschauen beim Gaming ebenso viel Spaß machen kann wie das eigentliche Spielen. Mittlerweile überträgt das Unternehmen eigenhändig erstellte, professionelle Livestreams großer Events aus dem eSport-Bereich – doch den größten Teil des Programms gestalten immer noch die Mitglieder selbst.

Erfolgreiche Streamer – als Vorbilder zum Nacheifern

Der Streamer mit dem sperrigen Namen FeelFIFAandGamingTV ist einer von ihnen. Er bevorzugt die Sportsimulation FIFA und darf sich über mehr als 100.000 Follower freuen. Diese große Zahl von Fans hat der Twitch-Teilnehmer sich innerhalb einer kurzen Zeitspanne von wenigen Monaten gesammelt, was sicherlich zum großen Teil an seiner schrägen, unverwechselbaren Art liegt.

Ebenfalls sehr populär auf Twitch sind Streamer, die sich dem Poker- und Casino Spielen verschrieben haben. Der Holländer Lex Veldhuis gehört aktuell zu den brandheißen Kartenspielern, ihm folgen ebenfalls mehr als 100.000 User. Im Casino-Sektor hat sich der Account-Inhaber Jens »TheRealKnossi« Knossalla einen großen Namen gemacht, er bringt es auf immerhin 10.000 Fans.

Multiplayer-Spiele gehören zu den wahren Twitch-Magneten, der Gamer Dhalucard zieht mit seinen Fortnite- und Playerunkown’s Battleground-Runden weit mehr als 100.000 Follower in seinen Bann, er teilt sich den Kanal mit Maru und Dadosch, seinen ebenfalls spielstarken Freunden. Doch gegen Gronkh, der seit letztem Jahr leider nicht mehr aktiv ist, können all diese Gamer schlichtweg einpacken: Er näherte sich mit seinen zahlreichen verschiedenen Spieleübertragungen der 800.000-Follower-Marke! Begonnen hat Gronkh mit Minecraft, sein Schwerpunkt lag später auf den typischen Multiplayer-Games.

Diese Ausrüstung benötigen Sie für Ihren Twitch-Auftritt

Was diese Gamer können, das können Sie auch? Zumindest gilt es, einmal einen Versuch zu wagen und sich bei Twitch einen eigenen Streaming-Account zu gestalten. Das ist grundsätzlich kostenlos, nur in die passende Hardware müssen Sie eventuell noch ein paar Euros investieren. Nötig ist folgendes Equipment:

  • Ein Internetanschluss mit einer Upload-Geschwindigkeit von mindestens 3 Mbit; Für HD-Qualität: ein Anschluss mit der Upload-Geschwindigkeit 6 Mbit. Erfahrungsgemäß sollten es aber schon eher 50-100 Mbit sein.
  • Eine CPU mit möglichst hoher Geschwindigkeit, entsprechend dem gewünschten Spiel.
  • Eine CPU mit 8 Kernen macht sich im Multiplayer-Spiel besser als nur 4 Kerne.
  • Eine Grafikkarte, die das jeweilige Spiel bestmöglich darstellt. Es muss hier nicht direkt eine Nvidia GeForce GTX 1080 Ti sein, ein Mittelklasse-Modell wie die Nvidia GeForce GTX 1060 reicht für viele Spiele bereits aus.
  • Eine HD- oder 4k-Kamera, um das eigene Konterfei während des Streamings einzublenden.
  • Ein hochwertiges Headset für die perfekte Kommunikation, beispielsweise von Sennheiser oder Plantronics. Alternativ lassen sich auch Stand-Mikrofone, beispielsweise von Rode, verwenden, die nicht nur die Bewegungsfreiheit verbessern, sondern auch den Klang.
  • Um mit der PS4 Spielkonsole zu streamen, benötigt es die entsprechende PlayStation Kamera und ggf. weitere Video-Splitter.

Photo by AllClear55, CCO Creative Commons

Das war es schon.

Vielleicht halten Sie all diese Dinge bereits zu Hause bereit, schließlich sind die Anforderungen nicht enorm hoch. Behalten Sie aber auf jeden Fall im Auge, dass eine hervorragende Hardware mit höchster Leistungsstärke auch die besten Ergebnisse bringt. Die Follower müssen sich dann nicht mit ruckelnden Bildern oder schwer zu verstehenden Kommentaren herumschlagen, die sie im schlimmsten Fall ganz schnell forttreiben! Ganz im Gegenteil: Wenn die Übertragung einwandfrei läuft, ist für den Streamer die halbe Miete schon gewonnen. Die restlichen Werkzeuge lassen sich nicht im Computer-Shop kaufen: Eine humorvolle, skurrile oder zumindest einigermaßen individuelle Art und Weise, zu spielen und zu kommentieren, zieht die Fans in Scharen an. Nebenbei sollten Sie das ausgewählte Game aus dem Effeff beherrschen, sodass andere noch etwas davon lernen können. Falls dies noch nicht der Fall ist, hilft nur eines: ganz viel Übung!

Nur Mut: Auch andere haben auf Twitch ganz klein anfangen, sich über die ersten 5 Fans gefreut und sich anschließend ganz allmählich auf die 100 vorgekämpft. Ist erst ein gewisser Bekanntheitsgrad erreicht, kann daraus eine wahre Lawine werden, die am Ende kaum geahnten Ruhm bringt.

Kategorien: Hardware Internet

Update LineageOS 14.1 auf 15.1

LineageOS Logo

Nachdem mein bestelltes Xiaomi Redmi Note 5 leider noch nicht bei mir eingetroffen ist, nutze ich nach wie vor das Xiaomi Redmi Note 4X. Am Montag war es endlich soweit und LineageOS 15.1 wurde offiziell für das Redmi Note 4 freigegeben. Der integrierte Update-Check hat mir das Update gestern angeboten.

Überraschenderweise kann von der offiziellen LineageOS 14.1 Version direkt auf Version 15.1 geflasht werden (dirty flash). Selbstverständlich wird ein Clean-Install empfohlen, der in der Regel auch sinnvoll ist. Wer aber eher den schnellen und einfachen Weg sucht, kann ohne Bedenken das direkte Update testen, bei Problemen kann schließlich immer noch ein Clean-Install ausgeführt werden. Von den inoffiziellen LineageOS 15.1 Builds funktioniert leider kein direktes Update, hier muss immer der Weg via Clean-Install gegangen werden. Einstellungen und Apps können dann z.B. mit Titanium Backup (benötigt Root) übernommen werden.

Direktes Update vom offiziellen LineageOS 14.1 auf 15.1 (beim Xiaomi Redmi Note 4x)

Da die Frage nach der genauen Vorgehensweise immer wieder auftaucht, hier die einzelnen Schritte.

Zunächst müsst ihr ein paar Downloads tätigen und die Dateien auf das Smartphone legen. Lasst euch nicht vom Namen des Images irritieren, obwohl es mit „nightly“ gekennzeichnet ist, handelt es sich um die offizielle Version.

Dann geht es an die Umsetzung.

  1. In TWRP Recovery booten.
  2. (optional) Nandroid Backup via TWRP (Partitionen Boot, System und Data), damit bei Problemen wieder auf das bisherige LineageOS 14.1 zurückgewechselt werden kann.
  3. (optional aber empfohlen) Neue TWRP-Version mit Treble-Unterstützung installieren. Dieser Schritt ist nur bei Nutzung von magisk notwendig. Allerdings würde ich euch das Update aber trotzdem empfehlen, da ihr mit der normalen TWRP-Version die Vendor-Partition nicht löschen könnt. Dies ist z.B. aber wichtig, wenn ihr zurück zu MIUI wollt oder andere ROMs-Nutzen wollt, die das Formatieren nicht automatisch übernehmen (im Gegensatz zu LineageOS). Nach der Installation das Smartphone neustarten und erneut in TWRP Recovery booten,
  4. Neue Firmware flashen.
  5. LineageOS 15.1 flashen.
  6. Open GApps flashen (direkt nach LineageOS und ohne Neustart!).
  7. Addons wie magisk oder su flashen.
  8. Dalvik-Cache löschen und Smartphone neustarten.

WordPress 4.9.6 mit neuen Datenschutzfunktionen

WordPress Logo

Letzten Donnerstag wurde WordPress 4.9.6 veröffentlicht. Das „Datenschutz- und Wartungs-Release“ bringt neben zahlreichen Bugfixes auch neue Datenschutzfunktionen mit.

Acht Tage vor dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018, haben die WordPress-Macher die neue Version 4.9.6 veröffentlicht. Darin enthalten sind folgende neue Features:

  • Datenschutzerklärung
    Unter „Einstellungen –> Datenschutz“ kann entweder eine neue Seite für die Datenschutzerklärung erstellt oder eine bestehende ausgewählt werden. Beim Erstellen einer neuen Seite liefert WordPress eine grobe Vorlage aus. Diese muss auf alle Fälle noch individuell angepasst werden. Weitere Informationen hierzu findet ihr in meinem Artikel DSGVO für Blogger – Das gibt es zu Beachten.
    WordPress - Datenschutz
  • Werkzeuge für den Export und das Löschen personenbezogener Daten
    Gemäß der DSGVO hat jeder Nutzer das Recht seine Daten einzusehen bzw. löschen zu lassen. Diese Funktionalität hat WordPress nun nachgerüstet. Beide Möglichkeiten sind in den WordPress-Einstellungen unter „Werkzeuge“ erreichbar. Möchte ein User seine Daten einsehen oder löschen lassen, müsst ihr einfach die E-Mail-Adresse des Nutzers angeben. Dieser erhält dann eine E-Mail mit einem Bestätigungslink. Somit kann sichergestellt werden, dass der Anfrager wirklich der Nutzer ist, dem die Daten gehören. Sobald der Link angeklickt wurde erhält, könnt ihr die Daten dem Nutzer zusenden bzw. löschen lassen.
  • Einwilligungsmöglichkeit für ein Kommentar-Cookie
    Nicht eingeloggte Nutzer können via Checkbox wählen, ob Name, E-Mail-Adresse und Webseite für zukünftige Kommentare per Cookie gespeichert werden sollen oder nicht.
    WordPress - Kommentar-Cookie

Eine detaillierte Übersicht aller Änderungen findet sich im Changelog. Für eine volle DSGVO-Konformität im Core reicht das Update aber noch nicht aus. Eventuell wird noch eine Version 4.9.7 mit den restlichen geplanten Features kommen. Eine gute Übersicht zu den aktuellen Diskussionen und Änderungen bezüglich der DSGVO im WordPress-Team findet ihr hier.

Kategorien: Internet Wordpress

DSGVO für Blogger – Das gibt es zu Beachten

EU Flagge

Die Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft und hat weitreichende Folgen auf alle Unternehmen, Freelancer, Webseitenbetreiber und auch Blogger. Neben hohen Bußgeldern bringt die DSGVO auch erhöhte Nachweis- und Dokumentationspflichten mit sich. Allgemein herrscht allerdings eine große Unsicherheit darüber, was konkret zu tun ist, um der Datenschutz-Grundverordnung gerecht zu werden. In diesem Artikel möchte ich notwendige Maßnahmen für Blogger aufzeigen, insbesondere bei der Verwendung von WordPress.

Wichtiger Hinweis: Ich bin kein Jurist oder Datenschutzexperte. Die Informationen in diesem Artikel habe ich mit großer Sorgfalt und nach bestem Wissen recherchiert und verfasst. Dennoch übernehme ich keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen. Es handelt sich um keine Rechtsberatung! Zur Lösung von konkreten Fragen oder Problemen konsultieren Sie bitte einen Rechtsanwalt.

Was ist die DSGVO?

Mit der Datenschutz-Grundverordnung möchte die Europäische Union einen europaweit einheitlichen Rechtsrahmen für die Verarbeitung personenbezogener Daten schaffen. Zu den personenbezogenen Daten zählen beispielsweise folgende:

  • Name
  • Adresse
  • E-Mail-Adresse
  • IP-Adressen
  • Telefonnummer
  • Geburtsdatum
  • Kontodaten
  • Standortinformationen

Die DSGVO tritt nach einer zweijährigen Übergangsfrist am 25. Mai 2018 endgültig in Kraft. Sie wird viele Regelungen des jetzigen Bundesdatenschutzgesetzes (BDSG) und andere Regelungen ablösen. Da es sich um eine EU-Verordnung handelt, müssen die Mitgliedstaaten die einzelnen Punkte nicht in nationales Recht umsetzen (im Gegensatz zu EU-Richtlinien). Sie können allerdings Gestaltungsspielräume nutzen und einige Dinge im nationalen Recht regeln. Da Deutschland in der Vergangenheit alle Verordnungen streng umgesetzt hat, ist nicht davon auszugehen, dass entscheidende Dinge bei uns angepasst werden.

Für wen gilt die DSGVO?

Die DSGVO gilt für alle in der EU ansässigen privaten Unternehmen sowie Niederlassungen, Freiberufler, Vereine und öffentlichen Stellen, unabhängig von ihrer Größe. Auch betroffen sind Betriebe außerhalb der Europäischen Union, die EU-Bürgern Waren oder Dienstleistungen anbieten.

Wer jetzt denkt als Blogger nicht davon betroffen zu sein, sollte kurz überlegen. Nutzt ihr Werbebanner oder Affiliate-Links auf eurem Blog, bekommt ihr Spenden oder verdient ihr in irgendeiner anderen Form damit Geld? Falls ja müsst ihr die die DSGVO genauso umsetzen wie alle anderen. Selbst wenn ihr nur einen privaten Blog ohne Einnahmen führt, ist das keine automatische Befreiung von der DSGVO. Die konkrete Beantwortung ist aber noch eine der vielen offenen Fragen zu diesem Thema.

Was müssen Blogger beachten?

WordPress-Plugins

Neben WordPress selbst dürften natürlich die Plugins nicht vergessen werden. Viele Plugins speichern personenbezogene Daten in der Datenbank oder senden diese sogar zu externen Servern. Nachfolgend gibt es zwei umfangreiche Listen mit WordPress-Plugins die genau aufzeigen, welche Plugins kompatibel mit der DSGVO sind bzw. welche angepasst werden müssen oder gar nicht mehr verwendet werden dürfen. Beide Listen werden regelmäßig aktualisiert und erweitert.

Generell gilt: Auf Plugins, die schon seit längerem nicht mehr aktualisiert wurden, sollten Seitenbetreiber aus Sicht der DSGVO ein kritisches Auge werfen oder gar komplett darauf verzichten.

In den folgenden Abschnitten werde ich auf das ein oder andere Plugin gesondert eingehen.

Cookies

Der Hinweis auf die Verwendung von Cookies ist bereits jetzt Pflicht, aber die DSGVO verschärft das Ganze nochmal etwas. Demnach muss jeder Besucher deiner Webseite darauf hingewiesen werden, wenn Cookies angelegt werden. Bisher habe ich das Plugin Cookie Law / GDPR Info genutzt. Alternativen sind beispielsweise Cookie Consent oder Cookie Notice von dFactory. Relativ neu ist das Plugin Google Analytics Germanized (GDPR / DSGVO). Wie der Name schon sagt kümmert sich das Plugin um eine DSGVO-konforme Einbindung von Google Analystics. Darüber hinaus bietet es eine einfache Möglichkeit für den Cookie-Hinweis inklusive Opt-In- oder Opt-Out-Verfahren. Des Weiteren muss in der Datenschutzerklärung genau über die Nutzung von Cookies aufgeklärt werden.

Spätestens mit der 2019 erwarteten ePrivacy-Richtlinie wird die aktuell häufig praktizierte Opt-out-Lösung nicht mehr ausreichen und es muss eine Opt-In-Lösung verwendet werden. D.h. der Besucher muss vor dem Setzen von Cookies explizit zustimmen, ansonsten dürfen keine Cookies gesetzt werden. Wie immer existieren auch Ausnahmen. Sind bestimmte Anforderungen erfüllt (Stichwort „berechtigte Interessen“), dürfen Cookies weiterhin ohne Einwilligung gesetzt werden. Durch die schwammige Formulierung ist aktuell allerdings nicht wirklich klar, welche Situationen Cookies ohne Nachfrage erlauben und welche nicht. Hier müssen wohl erst einige Gerichtsurteile Klarheit schaffen.

SSL-Verschlüsselung

Seit dem Aufkommen von kostenlosen Zertifikaten, allen voran Let’s Encrypt, wurden schon viele Webseiten auf HTTPS umgestellt. Abgesehen davon bevorzugt Google seit längerem verschlüsselte Webseiten und viele Browser heben unverschlüsselte Webseiten mittlerweile negativ hervor. Mit der DSGVO wird Verschlüsselung aber wohl endgültig zur Pflicht.

Diese verlangt, dass personenbezogene Daten verschlüsselt übertragen werden müssen. Wenn Blog-Kommentare erlaubt oder Kontaktformulare vorhanden sind, ist demnach eine Verschlüsselung Pflicht. Wie du deinen Blog auf SSL umstellen kannst, habe ich bereits in einer ausführlichen Anleitung beschrieben: WordPress von HTTP auf HTTPS umstellen

Kommentare und Kontaktformulare

Bei Kommentaren auf dem Blog gibt es einiges zu beachten. Neben der zwingenden Nutzung von HTTPS (siehe Punkt darüber) müssen sich Benutzer vor dem Absenden von Kommentaren ausdrücklich damit einverstanden erklären, dass ihre Daten gespeichert werden. Dies lässt sich am einfachsten mit Hilfe einer Checkbox regeln, die vor dem Absenden eines Kommentars aktiv markiert werden muss. Das Kontrollkästchen darf nicht standardmäßig aktiviert sein! Ein gutes Plugin zur Nachrüstung ist WP GDPR Compliance. Neben den Blog-Kommentaren kann das Plugin auch mit Formularen von Contact Form 7 und Gravity Forms umgehen.

Ein weiteres Problem ist das Speichern von IP-Adressen. WordPress speichert diese nämlich von Haus aus in der Datenbank mit ab. Andererseits wird die IP im Fall von beleidigenden oder missbräuchlichen Inhalten aber zur Nachverfolgung benötigt, weshalb der Webseitenbetreiber durchaus ein „berechtigtes Interesse“ zur Speicherung der IP hat. Leider gibt es zu diesem Thema keine eindeutige Meinung. Mögliche Varianten zur Lösung dieses Problems sind z.B. die IP-Adressen nicht mehr zu speichern oder sie nach einem gewissen Zeitraum automatisch zu löschen.

Mit diesem kleinen Code-Snippet werden zukünftig keine IPs mehr gespeichert, einfach in die „functions.php“ einfügen:

function remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'remove_commentsip' );

Auch die bisher gespeicherten IP-Adressen müssen gelöscht werden. Relativ einfach funktioniert dies z.B. via phpMyAdmin und folgendem SQL-Befehl:

UPDATE wp_comments SET comment_author_IP = '127.0.0.1';

Alternativ kann das Plugin Remove Comment IPs verwendet werden, welches alle alten IP-Adressen sechs Stunden  nach Installation des Plugins und neue IP-Adressen automatisch nach 60 Tagen löscht.

Natürlich könnte man Kommentare auch komplett anonym zulassen. In diesem Fall trägt man als Webseiteninhaber aber das komplette Risiko alleine, weshalb von dieser Variante abzuraten ist.

Wer die Möglichkeit zum Abonnieren von Kommentaren anbietet, muss auf das Double-Opt-In-Verfahren setzen d.h. der Nutzer muss per E-Mail bestätigen, dass er wirklich abonnieren möchte. Hierfür eignet sich das Plugin „Subscribe to Double-Opt-In Comments„, welches seit Version 6.5.2 DSGVO-kompatibel ist.

Spam-Schutz

Das von Haus aus installierte Plugin „Akismet“ durfte in Deutschland schon bisher nicht benutzt werden und die DSGVO verschärft die Situation sogar noch. Akismet schickt sowohl den Kommentartext als auch die IP des Kommentierenden an einen Server in den USA.

Eine gute Alternative ist Antispam Bee. Mit den Standardeinstellungen ist das Plugin datenschutzrechtlich unbedenklich. Allerdings existiert eine Einstellung, die viele Nutzer aufgrund einer besseren Spamerkennung aktiviert haben. Die Optionen „Öffentliche Spamdatenbank berücksichtigen“ sendet die IP-Adresse an externe Server. Diese Option muss daher deaktiviert werden. Der Entwickler hat versprochen diese Option in Antispam Bee 2.8 komplett zu entfernen.

Backup-Plugins

Backup-Plugins an sich sind kein Problem. Hier ist vielmehr wichtig, ob du personenbezogene Daten auf deiner Webseite speicherst und ob diese auch entsprechend in den Backups gespeichert werden. Sollten die Backups dann zusätzlich noch bei Cloud-Diensten wie Dropbox, OneDrive und Co. liegen, ist besondere Vorsicht geboten. In diesem Fall überträgst du personenbezogene Daten auf fremde Server, was selbst im Fall einer Auftragsdatenverarbeitung kritisch sein könnte.

Google Fonts

Bei der Nutzung von Google Fonts werden bei jedem Seitenaufruf  der Google Server kontaktiert und Daten an Google übertragen, insbesondere die IP-Adresse. Das ist selbstverständlich nicht im Sinne der DSGVO, auch wenn derzeit nicht ganz klar ist, ob Google Fonts wirklich „illegal“ ist. Nichtsdestotrotz solltet ihr Google Fonts nicht mehr verwenden und die Schriftart einfach lokal auf den Webserver legen und von dort einbinden. Beim Download und bei der Einbindung hilft die Webseite Google Webfonts Helper. Eine genaue Anleitung wie ihr Vorgehen müsst findet sich z.B. bei WP Ninjas.

Google Analytics

Für den datenschutzkonformen Einsatz von Google Analytics gibt es klare Regelungen, die bereits in der Vergangenheit notwendig waren. Durch die DSGVO gibt es allerdings ein paar Neuerungen zu beachten. Eine ausführliche Beschreibung der einzelnen Punkte lässt sich hier finden.

Bisher schon notwendig und nach wie vor verpflichtend ist die Anonymisierung von IP-Adressen, was auch für andere Tracking-Dienste wie z.B. Piwik gilt. Des Weiteren muss wie bisher eine Opt-Out Möglichkeit vorhanden sein. Eine einfache und unkomplizierte Lösung steht unter anderem mit dem Plugin Google Analytics Germanized (GDPR / DSGVO) zur Verfügung. Der Hinweis im Datenschutztext war bisher auch schon notwendig, muss aber mit der DSGVO angepasst und erweitert werden. Neu ist, dass man die Dauer der Datenaufbewahrung festlegen muss. Dies funktioniert in Google Analytics unter „Verwaltung –> Property auswählen –> Tracking-Informationen –> Datenaufbewahrung“. Hier sollten die Dauer auf 14 Monate begrenzt und der Button „Bei neuer Aktivität zurücksetzen“ deaktiviert werden (siehe Screenshot).

Google Analytics DSGVO
Auch beim benötigten Vertrag zur Auftragsverarbeitung mit Google gibt es im Hinblick auf die DSGVO Änderungen. Der bisherige Auftragsdatenverarbeitungsvertrag mit Google muss aktualisiert werden. Ab dem 25. Mai wird dies vereinfacht, denn dann kann der Vertrag in den Analytics-Einstellungen elektronisch bestätigt werden (Verwaltung –> Kontoeinstellungen –> Zusatz zur Datenverarbeitung). Bis zum 25. Mai muss der Vertrag in Deutschland ausgedruckt und ausgefüllt per Post versendet werden.

Newsletter

Die Newsletter Registrierung muss wie das Abonnieren von Kommentaren durch das Double-Opt-In-Verfahren erfolgen. Zudem muss der Nutzer bei der Eingabe seiner Kontaktdaten aktiv den Datenschutzbestimmungen bzw. der Speicherung seiner Daten zum Zweck des Newsletterversands zustimmen.

Darüber hinaus muss bei der Verwendung von externen Newsletter-Dienstleistern einen Auftragsdatenverarbeitungsvertrag abgeschlossen werden. Befindet sich der Anbieter außerhalb der EU, gelten weitere Bestimmungen (Privacy Shield).

Social Media

Sehr viele Social-Media-Plugins und so gut wie alle Share- und Like-Buttons sind datenschutztechnisch ein No-Go, da sie bereits beim Seitenaufruf viele Informationen an die jeweiligen sozialen Netzwerke übermitteln. Daher muss auf Plugins ausgewichen werden, die erst dann Daten übermitteln, wenn der Besucher aktiv darauf klickt. Ein solches Plugin ist das c’t-Projekt Shariff. Ich persönlich nutze schon seit rund drei Jahren Shariff bzw. das WordPress-Plugin „Shariff Wrapper„. Die DSGVO ist noch strenger als die bisherigen Gesetze, weshalb sich an dieser Empfehlung nichts ändert.

Vorsicht geboten ist auch bei Social-Media-Boxen für die Sidebar. Hier werden höchstwahrscheinlich auch Daten zu den jeweiligen sozialen Netzwerken übermittelt, weshalb ihr auf solche Plugins bzw. Herstellercodes komplett verzichten solltet.

Cloudflare und Co. (CDNs)

Sogenannte CDNs (Content Distribution Network) bestehen aus weltweit verteilten Cloudservern, welche die Performance vor allem bei internationalen Webseiten und bzw. oder bei großen Mediendaten deutlich verbessern kann. Cloudflare bietet zudem einen effektiven Schutz gegen DDoS-Attacken. Das Problem dabei ist, dass die IP-Adresse des Webseitenbesuchers automatisch an den jeweiligen CDN-Betreiber übermittelt wird. Bei der Nutzung von CDNs ist auf jeden Fall ein Vertrag zur Auftragsverarbeitung mit dem jeweiligen Anbieter notwendig und zudem muss sich der Anbieter an die Privacy-Shield-Bestimmungen halten. Trifft einer der beiden Punkte nicht zu, sollte die Nutzung von CDNs deaktiviert werden.

Werbung

Banner oder Textlinks ohne Tracking stellen kein Problem dar. Bei der Nutzung von Google AdSense muss auf jeden Fall ein Hinweis in den Datenschutzhinweisen erfolgen und zusätzlich der Hinweis auf die Nutzung von Cookies erfolgen. Der zweite Punkt ist aktuell noch mit dem Cookie-Banner abgedeckt, wird sich aber mit großer Wahrscheinlichkeit nächstes Jahr mit Erscheinen der ePrivacy-Richtlinie ändern. Wie sich das Thema bis dahin weiterentwickelt ist aktuell noch nicht vorauszusehen. Außerdem stehen auch hier noch die „berechtigten Interessen“ des Webseiten-Betreibers im Raum.

YouTube-Videos

Das direkte Einbetten von YouTube-Videos ist problematisch, da hier schon beim Seitenaufruf Daten des Besuchers an YouTube übermittelt werden. Als Abhilfe wird hier oftmals die Nutzung des erweiterten Datenschutzmodus beim Einbetten von YouTube empfohlen. Diese Variante würde ich aber nicht weiterempfehlen, da dennoch beim Seitenaufbau eine Verbindung zu den YouTube-Servern hergestellt wird, ohne dass der Nutzer das Video angeklickt hat.

Besser geeignet ist das Plugin Embed videos and respect privacy, welches ihr aber derzeit von Github beziehen solltet, da es dort in einer deutlich neueren Version vorliegt. Das Plugin ersetzt das Video durch eine Vorschaugrafik, die auf dem eigenen Server gespeichert werden kann (muss in den Einstellungen aktiviert werden). Erst wenn der Besucher auf das Video klickt wird es von YouTube geladen. Darüber hinaus kann das Bild mit einem frei anpassbaren Text-Overlay versehen werden.

Zudem ist natürlich auch hier ein Hinweis in der Datenschutzerklärung erforderlich.

WordPress-Embeds

Neben dem Einbetten von YouTube-Videos (siehe Punkt darüber) unterstützt WordPress das Einbetten von zahlreichen weiteren Diensten (Videos, Tweets, Facebook Postings, usw.). Ohne diese Dienste im Einzelnen genauer betrachtet zu haben, kann ich sagen, dass hier genau dasselbe Problem wie bei YouTube existiert. Beim Seitenaufruf werden die Inhalte des jeweiligen Diensts automatisch geladen und gleichzeitig die IP-Adresse des Benutzers übertragen. Aus DSGVO-Sicht ein Albtraum.

Eine ähnliche Variante wie bei YouTube via Nutzung von lokal generierten Screenshots ist aktuell wenn überhaupt nur für wenige der verwendeten Dienste verfügbar. Wer auf Nummer sicher gehen möchte sollte sämtliche oEmbeds deaktivieren, sodass nur noch die reinen Textlinks in WordPress-Artikeln vorhanden sind.

Die Deaktivierung sämtlicher Embeds kann entweder mit dem Plugin Disable Embeds oder via Code in der „functions.php“ erfolgen (Quelle):

function disable_embeds_code_init() {

 // Remove the REST API endpoint.
 remove_action( 'rest_api_init', 'wp_oembed_register_route' );

 // Turn off oEmbed auto discovery.
 add_filter( 'embed_oembed_discover', '__return_false' );

 // Don't filter oEmbed results.
 remove_filter( 'oembed_dataparse', 'wp_filter_oembed_result', 10 );

 // Remove oEmbed discovery links.
 remove_action( 'wp_head', 'wp_oembed_add_discovery_links' );

 // Remove oEmbed-specific JavaScript from the front-end and back-end.
 remove_action( 'wp_head', 'wp_oembed_add_host_js' );
 add_filter( 'tiny_mce_plugins', 'disable_embeds_tiny_mce_plugin' );

 // Remove all embeds rewrite rules.
 add_filter( 'rewrite_rules_array', 'disable_embeds_rewrites' );

 // Remove filter of the oEmbed result before any HTTP requests are made.
 remove_filter( 'pre_oembed_result', 'wp_filter_pre_oembed_result', 10 );
}

add_action( 'init', 'disable_embeds_code_init', 9999 );

function disable_embeds_tiny_mce_plugin($plugins) {
    return array_diff($plugins, array('wpembed'));
}

function disable_embeds_rewrites($rules) {
    foreach($rules as $rule => $rewrite) {
        if(false !== strpos($rewrite, 'embed=true')) {
            unset($rules[$rule]);
        }
    }
    return $rules;
}

VG Wort

Die Zählpixel der VG Wort sind in der jetzigen Form mit der DSGVO vereinbar, da keine personenbezogenen Daten übermittelt oder gespeichert werden. Genauere Infos liefert diese Pressemitteilung:

Die Behörde hat jetzt schriftlich bestätigt, dass das METIS-System so wie es derzeit eingesetzt wird, datenschutzrechtlich unbedenklich ist. Das VG WORT-Verfahren stellt sicher, dass einzelne Nutzer oder deren Leseverhalten nicht ermittelbar sind, wenn die Anzahl der Textaufrufe gezählt wird, da alle erfassten Daten sofort sicher verschlüsselt werden. Damit erhebt die VG WORT mit den Zählpixeln keine personenbezogenen Daten.

Ein Hinweis in der Datenschutzerklärung sollte aber entsprechend umgesetzt werden.

Gravatar

Gravatar ist ein Dienst, bei dem Nutzer ihre E-Mail-Adresse mit einem Avatar verknüpfen können. Somit können Benutzer in jedem Blog und auf jeder Webseite, die Gravatar unterstützt, automatisch ihren Avatar anzeigen lassen, sofern Sie die E-Mail-Adresse angeben. Eine tolle Idee, die aber leider nicht konform zur DSGVO ist. WordPress sendet bei jedem Kommentar eine Anfrage an den Anbieter um zu prüfen, ob ein passendes Bild zu der Mail-Adresse existiert. Problematisch ist, dass WordPress dies bei jeder E-Mail-Adresse überprüft, egal ob diese registriert ist oder nicht. Damit ist es für den Betreiber ein Leichtes, ein umfassendes Benutzerprofil zu erstellen.

Automattic, der Betreiber von Gravatar, hat zwar bis Mai eine Konformität zur DSGVO versprochen, bis heute hat man davon aber noch nichts gesehen.

Hier bleibt vorerst nichts anderes übrig, als dieses Feature direkt in WordPress zu deaktivieren. Dies kann glücklicherweise sehr einfach über „Einstellungen –> Diskussion –> Avatare anzeigen“ erledigt werden.

Eine mögliche Lösung ohne Avatare zu Deaktivieren liefert eventuell das Plugin Avatar Privacy. Aufgrund von Darstellungsproblemen bei den Kommentaren habe ich das Plugin aber nicht weiter angeschaut. Eine weitere Variante ist das Plugin WP User Avatar, welches die Nutzung von lokal gespeicherten Avataren zulässt.

Emojis

Selbst die Nutzung der bei WordPress eingebauten Emojis ist nicht mit der DSGVO vereinbar. Eine WordPress-Funktion sucht nach bestimmten Mustern und sobald ein mögliches Emoji im Text erkannt wird, wird eine Anfrage an einen Server (Auttomatic-CDN-Server) gesendet. Diese Anfrage überträgt die IP-Adresse von Webseitenbesuchern und ist daher nicht erlaubt. Einschränkenderweise gilt allerdings zu ergänzen, dass dieses Verhalten nur den zusätzlichen Code für die Unterstützung älterer Browser betrifft.

Dieser Code kann mit Hilfe des Plugins Disable Emojis entfernt werden. Alternativ kann dies auch via „functions.php“ ohne Plugin erledigt werden (Quelle):

/**
 * Disable the emoji's
 */
function disable_emojis() {
 remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
 remove_action( 'admin_print_scripts', 'print_emoji_detection_script' );
 remove_action( 'wp_print_styles', 'print_emoji_styles' );
 remove_action( 'admin_print_styles', 'print_emoji_styles' ); 
 remove_filter( 'the_content_feed', 'wp_staticize_emoji' );
 remove_filter( 'comment_text_rss', 'wp_staticize_emoji' ); 
 remove_filter( 'wp_mail', 'wp_staticize_emoji_for_email' );
 add_filter( 'tiny_mce_plugins', 'disable_emojis_tinymce' );
 add_filter( 'wp_resource_hints', 'disable_emojis_remove_dns_prefetch', 10, 2 );
}
add_action( 'init', 'disable_emojis' );

/**
 * Filter function used to remove the tinymce emoji plugin.
 * 
 * @param array $plugins 
 * @return array Difference betwen the two arrays
 */
function disable_emojis_tinymce( $plugins ) {
 if ( is_array( $plugins ) ) {
 return array_diff( $plugins, array( 'wpemoji' ) );
 } else {
 return array();
 }
}

/**
 * Remove emoji CDN hostname from DNS prefetching hints.
 *
 * @param array $urls URLs to print for resource hints.
 * @param string $relation_type The relation type the URLs are printed for.
 * @return array Difference betwen the two arrays.
 */
function disable_emojis_remove_dns_prefetch( $urls, $relation_type ) {
 if ( 'dns-prefetch' == $relation_type ) {
 /** This filter is documented in wp-includes/formatting.php */
 $emoji_svg_url = apply_filters( 'emoji_svg_url', 'https://s.w.org/images/core/emoji/2/svg/' );

$urls = array_diff( $urls, array( $emoji_svg_url ) );
 }

return $urls;
}

Wer Emojis sowieso nicht nutzt, kann die Funktion auch ganz einfach komplett in WordPress deaktivieren: „Einstellungen –> Schreiben“.

Ebenso bieten einige Caching bzw. Performance Plugins die Möglichkeit zur Deaktivierung von Emojis, unter anderem auch Autoptimize.

Webhoster

Ein wichtiger Punkt, der öfter vergessen wird ist der Webhoster. Dieser speichert unter anderem IP-Adressen in Server-Logs, persönliche Daten wie z.B. Name oder E-Mail-Adressen von Kommentaren in Backups und ggf. sogar E-Mails. Diese Daten sind schon allein aus sicherheitstechnischen Gründen relevant und die Deaktivierung von Logs und Backups kommt daher nicht in Frage. Im Sinne der DSGVO handelt es sich beim Webhoster damit um einen Datenverarbeiter. In diesem Fall müsst ihr mit dem Hoster einen Vertrag zur Auftragsverarbeitung schließen. Dieser sollte direkt im Backend zur Verfügung stehen oder spätestens bei einer Anfrage beim Support erhältlich sein. Bietet der Hoster keinen Vertrag zur Auftragsverarbeitung an, solltet ihr den Anbieter wechseln.

Der Datenverarbeitungsvertrag gilt jedoch nur für das klassische Hosting. Betreibt man einen eigenen Root- oder Colocated-Server, muss kein Vertrag geschlossen werden, da der Anbieter gar keinen Zugriff auf den Server besitzt. Hier ist der Webmaster selber für eine gesetzeskonforme Konfiguration des Servers verantwortlich.

Wie sich das Recht auf Löschung der Daten mit der Notwendigkeit von Backups verträgt, ist indes noch nicht geklärt und bleibt bis auf weiteres fragwürdig. Auch hier werden wohl die Gerichte entscheiden müssen, welche Interessen wichtiger sind.

Impressum & Datenschutzerklärung

Zwingend notwendig sind ein aktuelles Impressum und eine aktuelle Datenschutzerklärung. Beide Dinge sollten vor dem 25. Mai 2018 aktualisiert werden.

Wie das Impressum muss auch die Datenschutzerklärung von jeder Unterseite deiner Webseite aus erreichbar sein. Am besten sind separate Links im Header und / oder Footer, die beispielsweise „Datenschutz“ oder „Datenschutzerklärung“ heißen. Außerdem muss darauf geachtet werden, dass die Links nicht von anderen Dingen, z.B. Cookie-Bannern, überblendet werden. Folgende Dinge sollten darin enthalten sein:

  • welche Daten werden erhoben und verarbeitet?
  • werden Daten an Dritte weitergegeben und falls ja in welcher Form?
  • Widerrufsrecht / Recht auf Löschung / Opt-Out für den Nutzer
  • Ansprechpartner für Fragen

Darüber hinaus muss die Datenschutzerklärung individuell auf die jeweilige Webseite angepasst sein. Ein Standard-Text reicht nicht mehr aus. Nichtsdestotrotz können natürlich Datenschutzgeneratoren genutzt werden. Hier solltet ihr aber sehr sorgfältig prüfen, ob wirklich alle Dinge abgedeckt werden, die auf deiner Webseite im Einsatz sind. Folgende Generatoren kann ich empfehlen:

Automatische Abmahnwellen können eventuell damit vorgebeugt werden, indem die Datenschützerklärung  auf „noindex“ gesetzt und somit nicht von Suchmaschinen indiziert wird. Dies verhindert zumindest automatisierte Skripte daran, unzulässige Formulierungen automatisch auf deiner Webseite zu identifizieren.

Verzeichnis von Verarbeitungstätigkeiten

Die Datenschutz-Grundverordnung gibt vor, dass bei der Verarbeitung von personenbezogenen Daten ein Verzeichnis von Verarbeitungstätigkeiten geführt werden muss. Dieses ersetzt das bisherige Verfahrensverzeichnis nach dem deutschen Datenschutzrecht und ist in Artikel 30 DSGVO spezifiziert. Im Gegensatz zum bisherigen Verfahrensverzeichnis fällt das Verzeichnis von Verarbeitungstätigkeiten erheblich umfangreicher aus. Das Verzeichnis kann durch die zuständige Aufsichtsbehörde jederzeit angefordert werden. Die Möglichkeit zur Einsichtnahme durch jedermann ist nach DSGVO allerdings nicht vorgesehen.

Konkret müssen im Verzeichnis von Verarbeitungstätigkeiten alle Stellen (Prozesse, Tools, Anwendungen) dokumentiert werden, bei denen personenbezogen Daten verarbeitet werden. Außerdem muss ersichtlich sein, welche Daten genau erfasst und verarbeitet werden, für welchen Zweck die Verarbeitung stattfindet, auf welche Weise die Daten verarbeitet werden und welche technisch-organisatorischen Maßnahmen zum Schutz dieser Daten getroffen wurden. Darüber hinaus muss auch ersichtlich sein, falls Drittanbieter zum Einsatz kommen, welche Daten diese Verarbeiten und wo diese gespeichert sind. Ebenfalls wichtig ist zu wissen, wie man die Daten löscht und wie man die gespeicherten Daten bei Anfrage von Nutzern zur Verfügung stellen kann.

Es gibt einige Vorlagen, die bei der Erstellung eines Verzeichnis von Verarbeitungstätigkeiten sehr hilfreich sind. Diese dienen als guter Startpunkt und können dann mit den eigenen Daten vervollständigt werden.

Quellen

  • https://t3n.de/news/dsgvo-datenschutzgrundverordnung-aenderungen-837794/
  • https://t3n.de/news/dsgvo-daten-personenbezogen-841433/
  • https://t3n.de/news/dsgvo-einwilligungen-843918/
  • https://t3n.de/news/dsgvo-datenschutzgrundverordnung-verzeichnis-848581/
  • https://t3n.de/news/dsgvo-daten-rechtssicher-weitergeben-853271/
  • https://t3n.de/news/dsgvo-rechte-betroffenener-datenschutzerklaerung-860613/
  • https://www.borncity.com/blog/2018/04/03/hinweise-zur-datenschutz-grundverordnung-dsgvo/
  • https://www.datenschutzbeauftragter-info.de/fachbeitraege/eu-datenschutz-grundverordnung/
  • http://www.rakoellner.de/2018/02/dsgvo-checkliste-fuer-kleinere-unternehmen/
  • https://datenschmutz.net/dsgvo-checkliste-fuer-blogs/
  • https://www.reisen-fotografie.de/dsgvo-als-blogger/
  • https://lesefreude.at/dsgvo-leifaden-fuer-blogger/
  • https://www.selbstaendig-im-netz.de/recht/dsgvo-was-man-bei-eigenen-websites-und-blogs-beachten-muss/
  • http://www.blogger-ratgeber.com/dsgvo/
  • https://elbnetz.com/dsgvo-mit-wordpress/
  • https://www.webtimiser.de/so-bereitest-du-wordpress-auf-die-dsgvo-vor/
  • https://wp-ninjas.de/wordpress-dsgvo
  • https://it-service.network/blog/2018/02/27/verarbeitungsverzeichnis-nach-dsgvo/
  • https://www.activemind.de/datenschutz/dokumente/verfahrensverzeichnis
  • https://www.janalbrecht.eu/2018/05/dsgvo-haeufig-gestellte-fragen-haeufig-verbreitete-mythen/