DSGVO Anforderungen an Deine WordPress Internetseite
Gummersbach – Die DSGVO Anforderungen an Deiner Website werden am 25. Mai 2018 unmittelbar in Kraft treten. Nicht nur Firmen und Vereine müssen ihre datenschutzrechtlichen Hausaufgaben bis zu diesem Zeitpunkt erledigt haben, sondern auch alle Homepages müssen sich um das Thema DSGVO und die technischen Auswirkungen kümmern. Hier steckt der Teufel im Detail.
Ich habe mir bei mir selber eine typische WordPress-CMS Installation einmal näher angeschaut und war sehr überrascht, wie viele Homepageerweiterungen ab Ende Mai gegen die DSGVO verstoßen werden. Im Content-Management-System WordPress heißen diese Erweiterungen “Plugins”. Diese nützlichen Homepagehelfer helfen an verschiedensten Stellen, um dem Webmaster der Homepage das Leben leichter zu machen. Egal ob automatisierte Datensicherungen, oder das vollautomatische Herausfiltern von Kommentar-Spammern, die WordPress Plug-Ins helfen durch zahlreiche Communityfunktionen und greifen auf Erfahrungswerte anderer WordPress Webmaster zurück, die sich irgendwann mal aktiv für den Datenaustausch von diesen Erfahrungswerten entschlossen haben.
Praxis-Beispiel: DSGVO Anforderungen an Deine Website und den genutzten Plugins
Das WordPress Plugin “Akismet” zum Beispiel filtert Spamkommentare. Wenn Du auf Deiner Homepage dieses Plug-In anwendest und einen Benutzerkommentar als Spam markierst, dann wird diese Einschätzung an die “Akismet Community” gemeldet. Dabei überträgst Du Namen, Mailadresse und IP-Adresse des Spam-Verursachers. Aus zahlreichen Meldungen ergibt sich dann in der Akismet Zentrale ein Spam-Verzeichnis, von dem dann alle weltweiten Akismet Nutzer profitieren und nach den ersten übereinstimmenden Spammeldungen andere WordPress Benutzer vor genau diesen Absendern geschützt werden.
Und genau bei diesen Datenübertragungen steckt der Teufel im Detail. Um den Abgleich ausführen zu können, werden alle eingehenden Kommentare mit dieser globalen Akismet-Datenbank abgeglichen. Auch die persönlichen Daten von nicht Spammern! Und genau das ist ab der Wirksamkeit von der DSGVO (Datenschutz-Grundverordnung) nicht mehr zulässig.
WordPress Plugins nicht alle DSGVO konform!
Das WordPress Plugin “Spam Bee” zum Beispiel hat ebenfalls eine öffentliche Spamdatenbank. Im Gegensatz zu Akismet kann dieses Plugin jedoch mit nur einem Mausklick DSGVO konform gemacht werden. Die öffentliche Spamdatenbank kannst Du unter “Einstellungen” ganz einfach deaktivieren.
Das WordPress Plugin “Redirection” ist dafür da, um 404er Fehlermeldungen zu vermeiden und nach einer Permalink-Änderung die alten Internetadressen auf die neuen vollautomatisch umzuleiten, oder halt eben auf ähnliche Inhalte zu verweisen. Das ist soweit kein DSGVO Problem, sondern eher die Tatsache, dass die Verursacher von 404er Fehlern mit ihrer IP-Adresse in den Log-Dateien eingetragen werden. Laut DSGVO werden IP-Adressen als persönliche Daten eingestuft. Entsprechend dürfen diese nicht einfach abgespeichert werden. Egal von welcher Anwendung und auch nicht in den LOG-Dateien vom Webserver!
Glücklicherweise bietet “Redirection” eine Funktion in den Plugin Einstellungen an, dass man die “IP-Protokollierung” auf “Anonymize IP” umstellen kann. Dann wird der letzte IP-Block einfach auf “Null” gesetzt.
WordPress Plugin “Remove IP” – ein DSGVO Helfer
Das Plugin Remove IP hilft Dir bei der Anonymisierung von IP-Adressen bei WordPress Kommentaren.
Gravatar und Avatar deaktivieren!
Ja, ich muss zugeben, die Fotos neben den Homepage Kommentaren sehen richtig schön aus und geben eine persönliche Note. Aber auch hier müssen wir diese Funktion leider aus Gründen des Datenschutzes deaktivieren. Schließlich findet hier eine Übertragung von persönlichen Daten in ein Drittland (USA) statt. Ein Land, in dem die Regeln der DSGVO nicht gelten und auch – was die Vergangenheit gezeigt hat – der Respekt vor persönlichen Daten so gut wie nicht vorhanden ist.
Hierzu bei WordPress unter dem Hauptmenüpunkt “Diskussion” einfach den Haken bei “Avataranzeige” wegnehmen und schon findet keine Datenübertragung zu Gravatar mehr statt.
Eingebettete YouTube Videos (auch Vimeo!)
Es ist ja so einfach: Video produzieren hochladen und dann via Embeded Code auf der eigenen WordPress Homepage teilen. Kostenlos und ohne den eigenen Webspace zu stark mit HD Videos zu belasten. Leider vergessen die Meisten Webmaster, dass allein schon mit dem Aufruf des Vorschaubildes sämtliche Referer und Besucher IP-Daten ohne weitere Nachfrage direkt an YouTube (als Google!) und Vimeo übergeben werden. Ein ganz klarer Verstoß gegen die DSGVO.
Glücklicherweise werden die Internetgötter im entfernten Kalifornien endlich wach und bieten eine neue Datenschutzvariante an. Ein sogenannter “erweiterter Datenschutzmodus” ist seit kurzer Zeit bei der Java-Skript-Code Erstellung zu finden. Dieser sollte unbedingt genutzt werden. Der Knackpunkt ist dann leider nicht das neue Video und alle Zukünftigen, sondern das alte Video Archiv auf der eigenen WordPress Installation, wo schließlich noch kein erweiterter Datenschutzmodus erklärt wurde… Hier schlummern Abmahngefahren!
Entsprechend sollte für eine DSGVO konforme Website dringend das Videoarchiv kontrolliert und nachträglich neue Einbindungscodes generiert und eingebunden werden. Ansonsten kann es schnell durch Abmahnanwälte irgendwann zu einem teuren Spaß werden.
Alle WordPress Plugins die Daten sammeln hinterfragen!
Ich kann an dieser Stelle nur das Thema Homepageerweiterungen und WordPress Plugins anreißen und Webmaster hierfür Sensibilisieren. Alle Plugins zu bewerten wäre ansonsten eine Aufgabe, die ich zeitlich leider nicht bewerkstelligen kann. Im Kern geht es wirklich darum, dass jedes einzelne Plugin hinterfragt wird. Das Wörtchen “Datensparsamkeit” aus der DSGVO könnte man in Bezug auf WordPress Homepageerweiterungen auch schnell als “Plugin-Sparsamkeit” umdeutet. Es hat eine ähnliche Relevanz! Deswegen kann ich jeden Homepageverantwortlich nur animieren, so wenig WordPress Plugins zu benutzen, wie es nötig ist und auf der anderen Seite möglich ist. Jedes Plugin ist immer eine Sicherheitsgefahr und verursacht administrative Aufwände und kann auch im schlimmsten Fall zum technischen Ausfall der Homepage führen, wenn die Update-Strategie des Plugin-Autors nicht zeitnah auf WordPress Updates reagiert.
Im Zusammenhang mit der Datenschutz-Grundverordung (DSGVO) sollte wirklich bis zum 25.5.2018 jedes WordPress Plugin bewertet werden.
Praxistipp zur Prüfung von WordPress Plugin gem. DSGVO
Als absoluten Praxistipp würde ich empfehlen, jedes einzelne WordPress Plugin mit dem Zusatz DSGVO zu Googeln. Wenn es datenschutzrechtliche Bedenken gibt, dann wird schon irgend ein WordPress Webmaster und ein externer Datenschutzbeauftragter darüber etwas geschrieben haben.
Gerade bei den Themen Kontaktformular, Google Dienste (Google Map, Google Analytics, Google Schriften …) und wenn es sich um das Thema “Freebies” und automatischer Newsletteranmeldung geht: Hier bitte sehr sorgsam hinterfragen, welche WordPress Plugins im Konflikt zur DSGVO stehen …
Ich selber habe auch noch meine eigene Homepage “vor der Brust”. Aufgrund der aktuell sehr angespannten Auftragslage (sehr hohe Nachfrage) bin ich bei mir selber noch nicht durch mit der DSGVO. Erst die Kunden – dann komme ich. Oder: Der Schuster hat immer die schlechtesten Schuhe. Aber: Keine Sorge – Mitte Mai werde ich meine ganzen Websites auch noch rechtzeitig gem. DSGVO Vorgaben angepasst haben.
Brauchst Du Hilfe bei der DSGVO Umsetzung Deiner WordPress Homepage?
Dann spreche mich einfach via KONTAKTFORMULAR an, oder ruf mich unter 02261-9989888 an.