WordPress

Dein (WordPress)-Blog DSGVO-ready machen

DSGVO (oder GDPR, wie es außerhalb Deutschlands heißt) ist aktuell in aller Munde, meist gepaart mit einem panischen Gesichtsausdruck. Als Blogger steht man ja sowieso stets mit einem Bein im Abmahn-Grab: Impressum, Datenschutzvereinbarung,Bilder-Lizenzen und Cookie-Policy – auf 1000 Dinge muss man achten, um sein Hobby rechtssicher auszuüben. Ich sage „Hobby“ denn für Profis ist klar, dass da Regeln gelten, für Personen, die eigentlich nur ihre Gedanken ins Netz schreiben möchten, ist die Reglementierung häufig lästig. Die echte Adresse ins Impressum schreiben zu müssen, auf einem nicht-kommerziellen Blog mit fünf Lesern, muss das wirklich sein? Ja, muss es, leider. Durch die DSGVO (Datenschutz-Grundverordnung oder General Data Protection Regulation), die die am 25.5. in der EU in Kraft tritt, wird Bloggen nochmal eine ganze Ecke komplexer. Dabei ist die DSGVO im Grunde absolut lobenswert, will sie doch unsere Daten schützen und besser vorgeben, was Seitenbetreiber mit unseren Daten machen dürfen und müssen. Für Blogger (und andere Webseitenbetreiber) bedeutet das allerdings erstmal einen ganzen Batzen Arbeit.

Worauf muss man in Zukunft achten, damit eine Seite nicht gegen die DSGVO verstößt?

Es herrscht noch viel Unsicherheit und nicht alles ist abschließend geklärt, bei einigen Details muss man sicherlich die ersten Klagen und Präzedenzfälle abwarten. Sicher ist, dass Seitenbetreiber nicht mehr ohne weiteres persönliche Daten ihrer Besucher sammeln, verwerten und vor allem weitergeben dürfen. Das betrifft Tracking-Tools wie Jetpack und Google Analytics (letzteres wurde bereits angepasst), aber auch Share-Buttons, mit denen Facebook & Co Personen theoretisch quer durchs Netz verfolgen können oder andere extern eingebundene Skripte von fremden Seiten oder CDNs (Content Delivery Networks).

Hier der Versuch einer Übersicht, worauf ihr alles achten müsst. Da ich kein Anwalt bin und sich auch dauernd neue Details ergeben, gibt es natürlich keine Garantie auf Vollständigkeit

Pflicht für alle:

  • Webseite auf https umstellen – solltet ihr eh schon lange tun, da Google bereits angefangen hat, „unsichere“ Seiten im Browser zu markieren und in der Suche abzustrafen bzw. nach hinten zu stufen. Das „s“ in „https“ steht für „secure“, garantiert also eine sichere Datenübertragung. In Online-Shops und beim Online-Banking solltet ihr unbedingt darauf achten, bei „normalen“ Webseiten, wo keine sensiblen Daten übertragen werden, finde ich es nicht so wichtig, aber schaden kann es auch nicht.
    https im Browser
    https im Browser

    Fragt euren Webhoster/Webspace-Anbieter, in den meisten Fällen werden kostenlose SSL-Zertifikate, z.B. von Let’s Encrypt, angeboten. (all-inkl, mein Webspace-Anbieter seit vielen Jahren, bietet das komfortabel mit einem Klick an, viele andere tun das auch, manche verlangen dafür Geld, teilweise sogar richtig viel. Informiert euch!)

  • Impressum und Datenschutzerklärung – beides muss vorhanden und von überall aus erreichbar sein.
  • Auftragsverarbeitung – eine Auftragsverarbeitung (Auftragsdatenverarbeitung) muss mit dem Provider abgeschlossen worden sein. Mein Webhoster (all-inkl) stellt das bisher noch zur Verfügung, wird es aber hoffentlich noch vor dem 25.5. tun. Eine Auftragsverarbeitung müsst ihr im Grunde mit jeder Instanz abschließen, die Zugriff auf die Daten eurer Seitenbesucher hat. Selbst wenn ihr keinerlei Daten sammelt oder verarbeitet, hat der Betreiber eures Webspaces oder Servers grundsätzlich Zugriff auf Besucherstatistiken wie IPs usw. Mehr zur Auftragsverarbeitung findet ihr z.B. hier.

Was muss man speziell bei WordPress-Blogs beachten?

WordPress-Blogs sind erstmal Webseiten wie alle anderen auch, ein paar Besonderheiten gibt es in den meisten Fällen aber schon. Viele Blogs erlauben Kommentare, haben Kontaktformulare und binden Dutzende Plugins ein, hier muss genau hingeschaut werden.

Die Kommentarfunktion: Kommentare sind super, Kommentare sind das Herz eines Blogs, ohne Kommentare ist ein Blog eine Einbahnstraße, auch wenn sich mittlerweile viel weg vom eigentlich Blog in die sozialen Medien verlagert hat. Standardmäßig speichert WordPress auf in der eigenen Datenbank neben dem Kommentar den Namen, die E-Mail und die IP des Kommentierenden. Auf Millionen Seiten ist das WordPress-eigene Spam-Tool „Akismet“ in Verwendung. Das ist super, allerdings schickt es Kommentare an amerikanische Server, um sie dort auf ihre Spam-Wahrscheinlichkeit abzugleichen, was zum aktuellen Zeitpunkt auf keinen Fall DSGVO-konform wäre. Automattic, die Firma hinter WordPress und Akismet, bessert hier aber gerade nach. Es gibt allerdings auch Alternativen, siehe unten. Neben das Kommentarfeld gehört eine Checkbox, mit der sich der Kommentierende mit der Verarbeitung der Daten einverstanden erklärt, ein Plugin, das dabei hilft, ist z.B. WP GDPR Compliance. Ein weiteres Problem sind Gravatare, die kleinen Bildchen, die neben dem Kommentar angezeigt werden. WordPress sendet Mail-Adressen an den Gravatar-Service, um zu schauen, ob ein Bild hinterlegt ist. Die sind zwar durch einen Hash „verschlüsselt“, ein Tracking über diverse Seiten wäre trotzdem möglich. Es empfiehlt sich, den Dienst vorerst komplett zu deaktivieren oder ein Plugin wie Gravatar Privacy zu nutzen.

Tracking: Wenn ihr Tracking nutzt, müsst ihr die IP-Adressen anonymisieren. Dabei wird das letzte Oktett einer IPv4, bzw. die letzten 80 Bits einer IPv6-Adresse auf 0 gesetzt. Das erlaubt noch immer ein gutes Tracking, aber keine Verfolgung einzelner Nutzer. Aus der privaten IP 12.214.31.144 wird ganz einfach 12.214.31.0, Google Analytics bietet die Funktion _anonymizelp bereits seit 2010 an, Jetpack (WordPress) ist da noch nicht so weit. Eine weitere Option bietet ein lokal installiertes Tracking-Tool wie Piwik/Matomo, das keine Daten nach außen sendet.

Impressum/Datenschutz anpassen: Der allseits beliebte Impressums-Generator von eRecht24 greift auch hier, u.U. empfiehlt sich die kostenpflichtige Variante für 1-2 Monate.

Jetpack allgemein: Jetpack ist oft Overkill, wird trotzdem häufig eingesetzt, nicht zuletzt, weil es auch von WordPress/Automattic selbst kommt. Das Tracking ist allerdings problematisch, ebenso das angebotene CDN (Content Delivery Network) für Bilder. Für mich ist die Backup-Funktion essentiell, im Grunde wird aber auch hier ein Datenbank-Backup an die Jetpack-Server gesendet, was u.U. ein Problem darstellen kann.

Allgemein beim DSGVO zu beachten

Alles, was Daten der Seitenbesucher ungefragt sendet, verwertet oder die Privatsphäre des Seitenbesuchers gefährden kann, muss genau untersucht werden. Bindet ihr jQuery oder Google Fonts von außen ein? CDNs sind eine tolle Sache, weil sie Ladezeiten verringern können, allerdings könnte der Betreiber des CDN das Surfverhalten der Personen, die etwas von seinem Server lädt, verfolgen. Für Privatblogs, bei dem alle Seitenbesucher aus einem Land kommen, lohnt sich ein verteilter CDN sowieso nicht, Google Fonts, jQuery & Co. können auch leicht lokal installiert werden. Schwierig wird es bei installierten Plugins, die Schriftarten ohne zu fragen nachladen, hier muss man auf Updates hoffen oder das Plugin rausschmeißen.

Share-Buttons: fast alle Plugins, die Share-Buttons von Facebook, Twitter & Co einbinden, sind nicht DSGVO-konform. Es gibt allerdings auch solche, die Daten erst nach einer bewussten Aktion des Besuchers übertragen, ein häufig genanntes Plugin ist hier Shariff.

Eine Übersicht mit vielen Plugins und Alternativen findet ihr bei WP-Ninjas.

Ihr seid noch immer unsicher wegen des DSGVO? Schaut euch einfach mal alle eure Plugins an, prüft, ob ihr sie wirklich braucht und überlegt, ob diese Daten sammeln oder weiterschicken. Das DSGVO soll vor der unsachgemäßen Weitergabe von persönlichen Daten schützen, wenn ihr das nicht macht, habt ihr auch nichts zu befürchten.

Ach, eine positive Seite für Seitenbetreiber hat das DSGVO aber doch: mit der endgültigen Einführung am 25.5. wird der öffentliche WHOIS abgeschafft, also die Datenbank, in der jeder Domaininhaber seinen Namen, seine Adresse usw. veröffentlichen muss. Diese Daten werden in Zukunft nur noch bei Behördenanfragen freigegeben und sind nicht mehr öffentlich, das bedeutet für Domaininhaber (hoffentlich) weniger Spam und etwas Anonymität, auch wenn letzteres in Deutschland durch die Impressumspflicht eh nicht gegeben ist.

Weiterführende Links:

Kommentar verfassen