Dieser Artikel beschreibt einige technische Aspekte des Webhosting, mit Schwerpunkt Datenschutz. Der Autor ist kein Rechtsanwalt, kann und darf keine Rechtsberatung anbieten. Der Artikel gibt daher nur die persönlichen Einschätzungen und Erfahrungen des Autors wieder.

Als WordPress-Anwender möchten Sie Ihre Website selbst hosten. Warum ist das so wichtig? Als kleiner Blogger hätten Sie ja auch die Möglichkeit, eine der zahlreichen Blogging-Plattformen zu nutzen.

Die eigene Website ist vergleichbar mit dem Haus, in dem Sie wohnen, oder, sollten Sie ein Internet-Business betreiben, mit dem Büro, in dem Sie arbeiten. Natürlich kann jeder auch zur Miete wohnen, aber dann muss man sich zwangsläufig an mehr Regeln halten. So kann Ihnen der Vermieter verbieten, einen neuen Anbau oder einen Carport zu bauen. Im eigenen Haus haben Sie diese Einschränkungen nicht. Natürlich müssen auch hier Gesetze beachtet werden, zum Beispiel das Baurecht, aber solange Sie sich daran halten, haben Sie alle Freiheiten.

Warum ist die Wahl des Webhostings so wichtig?

Für das Webhosting gibt es viele Anbieter, die Ihnen einen Platz im Internet zu unterschiedlichen Preisen bereitstellen. Doch nicht allein der Preis ist entscheidend. Damit die Besucher einen guten Eindruck von Ihrer Internetpräsenz bekommen, sollten sich die Seiten schnell aufbauen. Niemand wartet gern 20 Sekunden, bis die Startseite erscheint. Die meisten Besucher verlieren schon nach 5-7 Sekunden das Interesse und wenden sich anderen Angeboten zu.

Auch sollte der Hoster ein Mindestmaß an Sicherheit bieten, und dabei trotzdem einen reibungslosen Zugang zu allen Bereichen ermöglichen. Gerade billige Anbieter packen mehrere hundert Kunden auf einen Computer (Server) und hoffen, dass keine der Websites allzu viele Zugriffe zu verzeichnen hat. Gerade in Zeiten, in denen viele Besucher auf den Seiten unterwegs sind, geht die Leistung des Servers in die Knie, und die Inhalte werden deutlich langsamer ausgeliefert.

Webhosting und DSGVO

In den letzten Wochen und Monaten wurde viel über den Datenschutz diskutiert. Die Datenschutzgrundverordnung (DSGVO), die ab dem 25. Mai 2018 endgültig durchgesetzt wird, hat viele kleine WordPress-Webmaster verunsichert. Neben den schon genannten Aspekten der Geschwindigkeit und Sicherheit, muss man sich nun auch noch über Rechtsfragen Gedanken machen. Und gerade hier ist die Auswahl eines geeigneten Webhostings sehr wichtig.

Anbieter aus den USA können zwar für das eigene WordPress Hosting genutzt werden, trotzdem gelten die Vereinigten Staaten als unsicheres Drittland. Lediglich ein Abkommen – das sogenannte Privacy-Shield – soll garantieren, dass die Daten mit den gleichen strengen Regeln behandelt werden, wie sie der Datenschutz in Europa vorgibt. Dazu sollten Sie allerdings zuerst prüfen, ob der gewählte Hoster für das Privacy-Shield zertifiziert wurde. Diese Information finden Sie, wenn Sie auf der Website http://privacyshield.gov/list den Namen der Firma eingeben. Die meisten der billigen Anbieter werden Sie hier nicht finden. Selbst wenn die Firma hier aufgelistet ist, brauchen Sie von ihr einen Auftragsverarbeitungsvertrag, damit Sie personenbezogene Daten dort speichern dürfen. Solche Verträge werden natürlich nur in englischer Sprache angeboten, sofern sie überhaupt verfügbar sind.

Also besser ein Hosting, bei den die Daten in Europa gespeichert werden? Das ist die einfachste und sicherste Lösung. Ich selbst habe mich für den Anbieter All-Inkl.com entschieden. Diese Firma hat ihren Sitz in Friedersdorf/Sachsen, bietet bezahlbares Webhosting und noch andere Vorteile, die ich im Folgenden beschreiben werde.

SSL-Zertifikat

Schon seit ein bis zwei Jahren wird immer wieder diskutiert, ob es sich lohnt, seine Website mit der SSL-Verschlüsselung auszustatten. Mit dem Telemediengesetz (§13 Abs.7 TMG) vom 01.01.2016 schreibt der Gesetzgeber „die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens“ für Diensteanbieter (also Websites) vor. In der Vergangenheit war dies ein teurer und aufwändiger Prozess, der vom Webhoster meist manuell durchgeführt werden musste. Seit Ende 2015 gibt es allerdings eine Initiative mit dem Namen „Let’s Encrypt“ bei der man kostenlose SSL-Zertifikate mit einer Gültigkeitsdauer von 90 Tagen anfordern kann. Ein regulär gekauftes Zertifikat gilt meist ein Jahr lang und muss dann, durch erneute Zahlung, wieder verlängert werden. Die Let’s Encrypt Zertifikate können ebenfalls, allerdings kostenlos, verlängert werden.

Der Trick bei der ganzen Sache ist: Der Hostinganbieter muss ein kleines Skript installiert haben, dass ein solches kostenloses Zertifikat immer wieder automatisch verlängert. Die meisten Anbieter haben das bereits eingerichtet und bieten die Let’s Encrypt Zertifikate ohne Aufpreis im Hostingpaket an.

Der Hintergrund hinter der ganzen SSL-Diskussion: Spätestens ab 25. Mai 2018 müssen Sie mit empfindlichen Geldstrafen rechnen, wenn Sie personenbezogene Daten auf der eigenen Website ohne SSL-Verschlüsselung erfassen. Das gilt unter anderem für Kontaktformulare, Blog-Kommentare und Newsletter-Anmeldungen. Überall wo der Besucher seine E-Mail, seinen Namen oder andere Daten (Adresse, Telefonnummer, etc.) eingeben kann, muss die Übertragung zum Webserver verschlüsselt werden. Sie erkennen das daran, dass die URL der Seite mit https:// beginnt, statt wie bisher mit http://

Bei All-Inkl ist dieser Vorgang sehr einfach einzurichten. Im Verwaltungsmodul „KAS“ (Kunden-Administration-System) wählen Sie einfach Ihre Domain aus und aktivieren den SSL-Schutz mit Let’s Encrypt. Der Webhoster weist Sie dann zwar darauf hin, dass er für das kostenlose Zertifikat keinen Support liefern kann, erfahrungsgemäß gibt es damit aber keine Probleme. Zumindest sind mir bei All-Inkl keine bekannt.

Logdatei-Einstellungen

Jeder Webhoster speichert standardmäßig alle Zugriffe in einer sogenannten Logdatei. Hier werden bestimmte Daten, jeweils eine Zeile pro Seitenzugriff, abgelegt. Diese Logdateien können später für Statistiken verwendet werden, um zu sehen, welche Seiten besonders häufig aufgerufen wurden. Man verwendet sie auch, um technische Probleme einzugrenzen oder festzustellen, ob Hackerangriffe auf die Website stattgefunden haben. In der Regel, werden Sie allerdings diese Logdateien nie zu sehen bekommen und vermutlich auch nicht benötigen. Für Zugriffsstatistiken gibt es komfortablere Werkzeuge wie Google Analytics oder spezielle WordPress Plugins.

Auch wenn Sie vielleicht gar nicht wussten, dass diese Logdateien existieren, sind sie dennoch vorhanden. Seit der Bundesgerichtshof am 16.05.2017 (Az. VI ZR 135/13) entschieden hat, dass auch dynamische IP-Adressen als personenbezogene Daten zu bewerten sind, speichern und verarbeiten Sie solche personenbezogenen Daten auf Ihrer Website, selbst wenn diese nur eine einfache Baustellenseite anzeigt.

Bei einigen Hostinganbietern lassen sich jedoch Einstellungen vornehmen, um das Sammeln der Daten einzuschränken oder zu unterbinden. All-Inkl bietet im Menü Einstellungen => Accesslogs die Möglichkeit, die IP entweder zu anonymisieren oder ganz auf die Logdateien zu verzichten.

Dennoch sollten Sie mit dem Anbieter klären, ob dieser nicht eigenständig Logdateien auf seinen Servern anlegt. Bei All-Inkl zum Beispiel, werden komplette IP-Adressen für 7 Tage zum Zweck der Erkennung und Abwehr von Angriffen gespeichert.

E-Mail nicht vergessen!

Bei der ganzen Diskussion über das Sammeln von Daten, wird häufig übersehen, dass ja auch die E-Mail Korrespondenz eine Verarbeitung von personenbezogenen Daten ist. Jeder, der Ihnen eine E-Mail schickt, gibt damit zumindest seine Mailadresse preis. Meist unterschreibt der/diejenige mit dem eigenen Namen und manchmal werden auch Telefonnummern ausgetauscht.

Auch hier ist natürlich wichtig, wo diese Daten gespeichert werden. Für alle Nutzer von Freemail-Services wird es jetzt richtig hart! Beispielsweise bietet Google für das kostenlose GMail keinen Auftragsverarbeitungsvertrag an. Um einen solchen zu bekommen und damit die Anforderung der DSGVO zu erfüllen, muss man einen der kostenpflichtigen Dienste wie z.B. GSuite buchen. Web.de darf, laut Nutzungsbedingungen sowieso nur für private Zwecke benutzt werden, also fällt auch das weg. Wie es bei GMX aussieht weiß ich nicht, aber sicher wird es auch hier in der kostenlosen Variante keinen Vertrag geben.

Das einfachste ist nun tatsächlich, ein E-Mail Postfach dort einzurichten, wo man auch seine Website gehostet hat. Leider bieten nicht alle Webhoster auch die Verwaltung von E-Mail an. Glücklicherweise gibt es bei All-Inkl mit den Webhosting-Paketen auch ausreichend E-Mail Postfächer. Damit können Sie sich eine E-Mail mit Ihrer eigenen Domain (z.B. info@meinedomain.de) einrichten. Die Nachrichten lassen sich entweder über Webmail im KAS lesen und verwalten, oder Sie richten sich einen E-Mail Client auf Ihrem Computer ein. Die kostenlose Software Mozilla Thunderbird kann ich für diesen Zweck sehr empfehlen.

Natürlich brauchen Sie auch dafür einen Auftragsverarbeitungsvertrag. Wenn Sie Hosting und E-Mail beim gleichen Anbieter nutzen, haben Sie den Vertrag bereits für das Hosting. Bei einigen Anbieter muss man im Vertrag noch ankreuzen, welche Daten gespeichert werden. In diesem Fall kreuzen Sie zusätzlich noch das Feld E-Mails mit an, um das Mail-Postfach mit einzuschließen.

Sollten Sie Interesse haben, den Provider „All-Inkl“ einmal auszuprobieren finden Sie eine Übersicht der Angebote hier: https://all-inkl.com/ (Werbung*).

* Sollten Sie über diesen Link eines der Angebote buchen, erhält der Autor dieses Artikels eine kleine Provision, die sich allerdings nicht auf den Preis auswirkt, den Sie bezahlen. All-Inkl bietet sogar die Möglichkeit, den Service für 7 Tage kostenlos und ohne Verpflichtung zu testen: https://all-inkl.com/webhosting/test-account/ (Werbung). Der Testzugang wird nach 7 Tagen automatisch gelöscht. So können Sie alle Funktionen in Ruhe ausprobieren, bevor Sie sich für ein Webhosting oder einen anderen Anbieter entscheiden.

Der Autor Marian Heddesheimer:

Der Autor dieses Gastartikels erstellt individuelle Lösungen auf der Basis des CMS-Systems WordPress.

In seinem Blog auf https://heddesheimer.de, veröffentlicht er Artikel, meist mit Videos, in denen er zeigt, wie Sie Ihre WordPress-Website noch besser und sicherer nutzen können. Dabei bedient er sich einer einfachen und verständlichen Sprache, sodass auch technisch weniger versierte Leser einen Nutzen daraus ziehen können. In den letzten Artikeln befasst er sich auch damit, mit welchen technischen Anpassungen Sie Ihre Website DSGVO-konform gestalten können.