WordPress Datenschutz

Lesezeit: 5 Minuten

WordPress Datenschutz allgemein

Das Thema Datenschutz ist ja in aller Munde, das gilt auch für den Datenschutz in WordPress. Hauptsächlich aufgrund der Datenschutzgrundverordnung (DSGVO), die seit Mai 2018 Gültigkeit besitzt (aber schon 2016 verabschiedet wurde!). Und ja, so lange Du Deine Webseite nicht ausschließlich privat betreibst (bedeutet nach allgemeiner Auffassung: Kennwortgeschützter Zugriff, nur für die Familie), musst Du Dich ebenfalls damit beschäftigen. Und zwar sobald Du „personenbezogene Daten“ verarbeitest. Hierzu gehören Namen, Adressen, Email-Adressen (Newsletter), IP-Adressen (Logs!!) und vieles mehr. 

Ich liste einige, nach meiner Auffassung nach notwendige, Maßnahmen für den Datenschutz in WordPress auf. Ich bin keine Rechtsberatung, dieser Beitrag stellt meine subjektive Meinung dar. Und da es zum Thema DSGVO noch wenig richterliche Auslegungen gibt, ist das ein sehr schwieriges Thema, weil die mögliche Auslegungsspanne sehr breit ist. 

SSL-Verschlüsselung

WordPress Datenschutz

Du solltest Deine Seite komplett SSL-verschlüsseln, das heißt durchweg per HTTPS erreichbar machen. Hier empfiehlt sich gleich ein automatischer redirect von HTTP auf HTTPS. Die DSGVO ist recht allgemein gehalten. Allerdings gibt es definitiv eine konkrete Maßnahme, die unter gewissen Umständen zu treffen ist: Verschlüsselung. Da Verschlüsselung schon direkt genannt ist, gibt es eigentlich kein Argument, diese nicht auch zu verwenden. Speziell natürlich, wenn es Formulare, Newsletter-Anmeldungen und ähnliches gibt, ist das absolute Pflicht. Hierzu muss der Provider ein SSL-Zertifkat auf Deinen Domänennamen ausstellen. Im zweiten Schritt musst Du dann, z. B. per Plugin, SSL in WordPress aktivieren, damit die ganzen Links auch wirklich passen. Mein Lieblings-Plugin ist hierfür “Really Simple SSL“.

Formulare

Als nächstes solltest Du Deine Formulare genau unter die Lupe nehmen. Hier muss für jedes Feld geklärt werden, ob das Erfragen dieser Information überhaupt notwendig ist (respektive: erlaubt ist). Stichwort Datenminimierung. Das typische Beispiel, das immer wieder genannt wird, ist die des Online-Alkohol-Shops. Bisher wurde oft nach dem Geburtstagsdatum gefragt oder eventuell nach dem Alter. Nach der neuen DSGVO sind das alles zu viele Daten. Das bedeutet, das einzige, das abgefragt werden darf, ist sinngemäß “Ich bestätige, dass ich über 16 Jahre alt bin”. Bei einem einfachen Kontaktformular zum Beispiel sollte es bei Name und Email-Adresse (und selbstverständlich dem Anliegen) belassen werden.

Ebenso sollte (hier gibt es noch immer Unklarheiten zwischen den Juristen) bei den Formularen eine zusätzliche Einwilligung als Checkbox hinterlegt werden, mit der die Benutzer dann quasi der Verarbeitung ihrer personenbezogenen Daten zustimmen. Diese Checkbox darf auf keinen Fall per Default angehakt sein, das heißt der Benutzer MUSS aktiv einwilligen und den Haken setzen, alles andere wäre nicht in Ordnung. Als weitere Voraussetzung muss sichergestellt sein, dass der Benutzer das Formular nicht absenden kann, wenn er den Haken nicht setzt und dass der Besucher, bevor er das Formular absendet, informiert wird, was Du mit diesen personenbezogenen Daten tust. Aber hierzu: Klare Grauzone.

Statistik Tools

Datenschutz statistik

Als weiterer Punkt ist die Verwendung von Statistik-Tools zu nennen. Falls Du einen Statistik über die Webseiten Besuche erstellst, gibt es diverse Punkte zu beachten:

  • Es ist darauf zu achten, dass in der Datenschutzerklärung erläutert wird, was mit den, zu Statistikzwecken erhobenen, Daten geschieht. Dazu gehört auch die Info, wie lange sie gespeichert werden.
  • Diese zu Statistikzwecken gesammelten Daten dürfen auf keinen Fall für irgendeinen anderen Zweck verwendet werden, als angegeben.
  • Sollten irgendwelche externen Anbieter verwendet werden, die die Statistiken erstellen, wie zum Beispiel Google Analytics, muss das explizit auch genannt werden. Eigentlich müsste es hierzu auch ein Opt-in geben, damit jeder Webseitenbesucher dem vorweg zustimmen kann. Ich anonymisiere grundsätzlich die IP-Adressen in der Statistik-Software (zum Beispiel wp-statistics) komplett (das ist ebenfalls ein im Gesetzestext fix genannter Begriff). Du solltest außerdem eine Löschfrist festlegen, nach der die zu statistischen Zwecken erhobenen Daten auch endgültig gelöscht werden. Mit den anonymisierten Daten kann ich die Statistiken für meine Zwecke noch ausreichend gut verwenden. Bei mir wird das letzte Oktett der IP-Adresse des Benutzers z. b. auf “0” gesetzt, damit ist keine eindeutige Zuordnung mehr möglich.

Einbinden externer Services

Wenn noch weitere externe Services eingebunden sind, wie zum Beispiel Social-Media-Plugins, so ist das natürlich ebenfalls in der Datenschutzerklärung zu nennen (mindestens). Ich habe die Social-Media-Plugins alle deaktiviert und durch links direkt auf mein dortiges Profil ersetzt. Das macht den WordPress Datenschutz wesentlich einfacher. Außerdem hat das auch den angenehmen Nebeneffekt, dass die Seiten wesentlich schneller sind. Es gibt aber mittlerweile immer mehr Plugins, die sehr nützlich sind, wie zum Beispiel Shariff Wrapper. Dieses Plugin stellt Dir datenschutzkonforme Teilen-Buttons für eine ganze Reihe bekannter Social-Networks und Diensten zur Verfügung. 

Es ist auch zu prüfen, ob noch weitere Dinge von extern geladen werden. Hintergrund: Der betroffene hinterlässt seine personenbezogenen Daten (IP-Adresse, vielleicht Referer, Browser, und so weiter) bei einem externen Anbieter (möglicherweise im nicht-EU-Ausland), ohne dazu eingewilligt zu haben. Hier gibt es aktuell Diskussionen bezüglich Google-Fonts, WordPress-Emojis (die von einem externen CDN kommen) und ähnliches. Ein guter Anhaltspunkt, um das zu prüfen, ist https://tools.pingdom.com. Ich für meinen Teil hoste die Schriftarten wenn möglich direkt auf meinem Server. WordPress-Emojis habe ich sowieso deaktiviert – Ich kann Emojis einfach nicht mehr sehen.

🙂

Cookies und DSGVO

Cookies DSGVO

Des Weiteren verwendest Du möglicherweise Cookies in irgendeiner Weise (Cookies sind keine Kekse!). Grundsätzlich sollte direkt beim ersten Aufrufen der Seite irgendwo eine Info erscheinen nach dem Prinzip “Diese Seite verwendet Cookies um das Nutzererlebnis zu verbessern. Wenn Sie fortfahren, stimmen Sie der Nutzung zu” – wobei ein OK die Meldung verschwinden lässt und ein “nicht einverstanden” die Seite explizit verlässt.

Unter

WP DSGVO Tools > WP DSGVO Tools

sind die wichtigsten Einstellungen zu finden. Im Reiter „Allgemeine Einstellungen“ solltest Du „Checkbox bei Kommentaren“ aktivieren. Im Reiter „Cookie Notice“ kannst Du die oben genannte „Cookie-Warnung“ aktivieren mit der Checkbox „Cookie Notice“.

Datenschutzerklärung

Wie oben schon darauf verweisen, ist gegebenenfalls eine explizite Datenschutzerklärung auf der Seite notwendig (es empfiehlt sich ein Anwalt!).

Antispam

Achtung bei Antispam-Plugins. Diese dürfen nicht die Metadaten wie IP-Adresse und ähnliches an einen Cloud-Dienst schicken. Weil: Der Betroffene hat nicht zugestimmt. Ein Service, der z. B. NUR einen Teil des Inhalts versendet zur Prüfung wäre wohl ok, weil keine personenbezogenen Daten verwendet werden.

Gravatar

Gravatar ist ebenfalls ein (manchmal) nützlicher Dienst, hat aber den Nachteil, dass die Email-Adresse jedes Kommentators mit der Gravatar-Datenbank abgeglichen wird. Wie so oft, gilt auch hier: Der Betroffene hat nicht zugestimmt, also ist es nicht in Ordnung: Du kannst diese Funktion glücklicherweise unter Einstellungen – Diskussion – Zeige Avatare deaktivieren.

Auftragsverarbeitungsvertrag

Papierkram. Auch das ist notwendig, um der DSGVO Rechnung zu tragen. Wer nämlich ebenfalls noch Zugriff auf die Daten hat, ist ggf. Dein Hoster, d. h. der Provider, bei dem die Webseite läuft. Dieser führt möglicherweise regelmäßig Backups durch oder kann zu Wartungszwecken oder eben systembedingt, auf die Daten zugreifen. Sicherlich hat der Provider normalerweise nichts davon, das auszunutzen- aber leider geht es nicht darum. Du musst einen AVV abschließen, einen Auftragsverarbeitungsvertrag. Diesen bekommst Du üblicherweise im Portal bei Deinem Anbieter. Eine Provider, der das nicht (einfach) bietet, würde ich sehr genau unter die Lupe nehmen.

Newsletter

Hast Du Newsletter in Betrieb, mit dem Du Deine Interessenten und Besucher über Themen auf dem Laufenden hältst, musst Du das Double Opt-in Verfahren anwenden. Außerdem dürfen nur die wirklich erforderlichen Informationen als Pflichtfeld erhoben werden. Bei der Verwendung von externen Diensten für den Versand von Newslettern gilt, wie schon bei anderen Themen: Es muss ein Auftragsverarbeitungsvertrag abgeschlossen werden.

WordPress Datenschutz – ein ongoing Job

Zusammenfassend kann man sagen: WordPress macht es Dir eigentlich recht einfach, den Datenschutz einzuhalten. Allerdings darf man das Thema Datenschutz in WordPress nicht unterschätzen, es ist prinzipiell ein sehr Komplexes.

Ich werde diese Liste regelmäßig updaten, damit neue Erkenntnisse auch einfließen. Schau Dir aber am Besten auch die Themen Datensicherheit und Datensicherung an.

Das könnte Dich auch interessieren …

2 Antworten

  1. 12. Mai 2019

    […] nennst, kannst Du die Sicherungen auch über Kreuz fahren. Aber Achtung: hier spielt dann auch der Datenschutz eine Rolle, je nachdem, wohin Du sichern […]

  2. 20. Mai 2019

    […] Was bedeutet das aber für Webseiten unter WordPress? Im Endeffekt bleibt nur, wenn man rechtlich sicher gehen möchte, die Verwendung Deutscher Hoster oder Provider, wie z. B. Raidboxes*, Strato und ähnliches. Speziell wenn es um Shops, Kundendaten, Kommentare u. ä. geht ist das wichtig. Das bedeutet: Sich frühzeitig Gedanken machen und Spezialisten dazu nehmen, bevor man loslegt! Mehr zum Thema Hosting Datenschutz und WordPress gibt es hier. […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

8 − vier =