Blog
Datenschutz
auf der WordPress Website
Datenschutz und WordPress Website
Stichtag 25. Mai 2018 –
die Datenschutzgrundverordnung (DSGVO) tritt endgültig in Kraft. Die Panikreaktion vieler Website-Betreiber: Abschalten der Website, Wartungsmodus oder gar Löschen der Domain. Leider ist das bei einigen Websites bis heute der Stand der Dinge geblieben. Viele kleinere Website-Betreiber sind mit den Anforderungen der DSGVO einfach überfordert. Sehr verständlich und nachvollziehbar.
Welche Schritte ich bei jeder WordPress-Installation ausführe, um die Vorgaben der DSGVO zu erfüllen, erkläre ich hier gerne – ohne jeglichen Anspruch auf Vollständigkeit und Rechtssicherheit. Ich bin keine Datenschutzbeauftragte und auch keine Anwältin, obwohl ich mich ausführlich mit diesem Datenschutzgedöns beschäftigt habe beschäftigen musste.
Meine DSGVO- Routine
Löschen von Akismet
Akismet ist ein Plugin, das vor Spam schützen soll. Es ist in jeder frischen WordPress-Installation inkludiert. Akismet hat zwar angeblich Anpassungen bzgl. der DSGVO vorgenommen, diese bestehen aber lediglich aus einem Datenschutz-Hinweis unter der Kommentarfunktion. Akismet sendet also weiterhin Daten des Kommentierenden zu Automattic nach San Francisco. Kurz und gut: Ich lösche Akismet und ersetze es durch das DSGVO konforme Antispam Bee. Die Voreinstellungen dieses Antispam-Plugins entspechen der DSGVO. Übrigens: Hello Dolly (braucht kein Mensch) lösche ich auch, ebenso alle nicht benötigten Themes, die in der Installation mit drin sind. Das hat nichts mit dem Datenschutz zu tun, gehört aber zu meiner Website Routine.
Deaktivieren der Avatare
Im WordPress Dashboard findest du in der linken Leiste unter EINSTELLUNGEN den Tab DISKUSSION. Ganz unten hast du die Möglichkeit, die Avatare zu deaktivieren. Ein Avatar ist ein mehr oder weniger witziges Bildchen, das bei Kommentaren als Profilbild des Kommentierenden angezeigt werden kann. Der Avatar wird über einen externen Dienst (übrigens wieder Automattic in San Francisco) erstellt und so funkt deine WordPress-Seite auch fröhlich Nutzerdaten nach Kalifornien. Mit dem Plugin WP First Letter Avatar soll es möglich sein, datenschutzkonforme Avatare zu liefern. Ich habe so etwas ehrlich gesagt noch nie benötigt.
Emojis unterbinden
Weniger bekannt ist, dass WordPress über zwei externe Server, die meiner Kenntnis nach nicht in Deutschland oder Europa beheimatet sind, eine Funktion in den Head jeder WordPress Seite implementiert hat, die Emojis einbindet. Das heißt: Deine WordPress-Website funkt Nutzerdaten dorthin, wenn deine Website aufgerufen wird. Unterbinden kannst du diese Verbindung mit einem Plugin: Disable Emojis oder mit einem Code, den du in die functions.php deiner WordPress-Installation einfügst. Nutze dazu am besten ein Child-Theme, denn die functions.php wird bei einem WordPress-Update eventuell überschrieben. Das Code-Snippet findest du hier. (Ich präferiere das Code-Snippet – ein Plugin weniger!)
Google Fonts hochladen
Google liefert über 800 Web-Schriften aus, die sich über moderne WordPress-Themes superleicht anwenden lassen. Sie sind oft bereits in das Theme integriert. Um so schwieriger ist es, sie wieder loszuwerden. Das Verwenden der Schriften ist umstritten, denn deine Website funkt bei jedem Aufruf mindestens die IP-Adresse des Users zu Google. Auch wenn der entsprechende Passus in der Datenschutzerklärung steht, ist noch unsicher, ob das Verwenden der Schriften nicht doch abgemahnt werden kann. Zum Glück gibt es eine Lösung: Du kannst die Schriften kostenlos herunterladen und per FTP lokal auf deinen Server (bzw. den deines Webhosters) hochladen. Wie das funktioniert? Hier gibt es eine tolle Anleitung. In der Anleitung wird auch beschrieben, wie du am Ende noch die Verbindung zum Google Server unterbindest – wunderbarerweise gibt es dazu ein … Plugin.
Ich erstelle die meisten Websites mit dem Themebuilder DIVI – dort ist es noch einfacher. Eine integrierte Funktion erlaubt es Schriften hochzuladen und mit einem Klick die Verbindung zum Google Schriftenserver zu kappen.
Website-Test-Tools
Wohin funkt meine Website noch und wie finde ich das heraus? Es gibt mehrere Möglichkeiten. Gerne nutze ich Avalex zum Testen der Website. Avalex bietet eine dynamische Datenschutzerklärung an und stellt freundicherweise die Analyse der Website kostenfrei zur Verfügung. Einfach die URL deiner Website in das Formularfeld eingeben. Avalex erkennt auch die Geschichte mit den Emojis, die der Analyse-Dienst Dataskydd nicht anmahnt – zumindest habe ich es dort noch nicht gefunden.
Natürlich kannst du auch mit der Entwicklerconsole deines Browsers und dem Tab „Sources“ erkennen, ob deine Website Ressourcen von Drittparteien abruft.
Impressum & Datenschutzerklärung
Die ersten Seiten einer neuen Website sind bei mir immer Datenschutzerklärung und Impressum. Für beides verwende ich den Generator von eRecht24, dessen kostenlose Variante für die Websites, die ich erstelle, meist ausreicht. Nach der Abfrage der Parameter bekommst du die fertige Datenschutzerklärung und das Impressum als PDF und html zugeschickt und darfst es auf deiner Website verwenden – eRecht24 muss dabei verlinkt werden – es sei denn, du bist Premium-Mitglied. Für Shop-Betreiber oder Websites mit vielen extern geladenen Inhalten würde ich die Premium-Mitgliedschaft sowieso empfehlen.
Den Datenschutz-Generator von Dr. Thomas Schwenke finde ich auch ganz schön. Er ist kostenlos für Privatpersonen und kleinere Unternehmen mit einem Jahresumsatz bis 5.000 Euro nutzbar. Geschäftskunden zahlen 99 € netto.
Und Ihr so?
Ich habe hier nur die Basis-Einstellungen aufgezählt, die ich gleich mit der WordPress-Installtion durchführe. Komplizierter wird es dann mit den eigentlichen Inhalten der Website, z.B. wenn Youtube- oder Vimeo-Videos, die Google Maps Karte oder andere externe Medien eingebunden werden sollen.Ich darf an dieser Stelle einen Blogbeitrag empfehlen: Blogmojo hat eine Sammlung mit mittlerweile über 300 Plugins erstellt und sie auf die Vereinbarkeit mit der DSGVO getestet. Danke Blogmojo!
Ich diskutiere mit meinen Kunden auch gerne über Google Analytics. Viele möchten dieses Tracking-Tool auf ihrer Website haben, um sehen zu können, wie viele Menschen ihre Website besucht haben. Das allein ist jedoch mit einem weitaus simpleren Plugin (z.B. Statify) realisierbar. Auch die Anmeldung bei der Google Search Console bietet detaillierte Einsichten, wie oft die Website bei welchen Suchbegriffen angezeigt und angeklickt wurde. Kaum jemand von meinen relativ kleinen Kundinnen und Kunden benötigt wirklich Google Analytics. Kaum jemand ist überhaupt in der Lage, die Daten, die Google Analytics auswirft, zu analysieren, geschweige denn zu nutzen.
Was tut ihr, um eure WordPress-Seite DSGVO kompatibel zu machen? Was habe ich vergessen? Was haltet ihr für überflüssig? Schreibt mir doch eure Ergänzungen gerne in die Kommentare.
Wie setzt du den Datenschutz auf deiner Website um?
Ich freue mich auf eure Ideen und Ergänzungen.
Ich freue mich über Kommentare! Deine IP-Adresse wird nach 2 Monaten automatisch gelöscht. Mehr dazu in der Datenschutzerklärung.
0 Kommentare