DSGVO in WordPress Umsetzten
Auch wenn die DSGVO fast jeden, mit dem wir sprechen, mittlerweile sowas von auf die Nerven geht, muss es trotzdem Umgesetzt werden. Es sei den Ihr habt verdammt gute Anwälte oder jede menge Kohle auf der hohen Kante.
Und wieder gleich vorweg, wir sind keine Juristen. Da wir uns aber, wieder willens, sehr intensiv mit dem Thema beschäftigen müssen, schreiben wir euch diesen Beitrag. Wir übernehmen keine Haftung auf juristische Richtigkeit, Vollständigkeit oder Aktualität der Maßnahmen.
Nun ist WordPress das meist genutzte CMS der Welt und nur in Europa werden solche Datenschutz Maßnahmen ergriffen, das manche Webseiten Betreiber Ihre Webseite am liebsten abschalten würden.
Aber mit ein paar kleinen Handgriffen ist auch eine WordPress Seite DSGVO konform.
Natürlich muss man grundsätzlich wissen, welche Plug-ins überhaupt nach Hause Telefonieren und welche sauber sind.
Nehmen wir zum Beispiel das Akismet Anti-Spam Plug-in, das ist in Deutschland schon seit Jahren untersagt zu nutzen.
Hier mal die meist genutzten Plug-ins oder Module, die Ihr nicht mehr nutzen könnt.
- Akismet Anti-Spam
- Jetpack von WordPress.com
- ShareThis
- Gravatar
- WP-Super Cache
- Kommentare
Wenn Ihr diese jetzt bei euch in der Plug-in liste stehen habt, schaltet die ab oder nehmt alternativen.
Akismet
Für das Akismet gibt es das in Deutschland zugelassene Plug-in „Anti Spam Bee“. Dieses lässt sich sehr leicht Konfigurieren und ist auch DSGVO konform.
Hiermit werden keine Daten an Dritte versendet.
Jetpack von WordPress.com
Das Jetpack von WordPress ist in der Tat ein extremer Datensammler, alle Informationen von Besuchern werden direkt an WordPress weitergeleitet.
Darunter die IP-Adresse, vorher besuchte Seite etc.
Das ist für die DSGVO natürlich der Super Gau.
Wenn Ihr Statistiken aufzeichnen wollt oder müsst, solltet Ihr könnt Ihr Google Analytics richtig einbinden.
Hier sollte darauf geachtet werden das alles was Google bekommt, komplett anonymisiert ist. Neu ist auch, das man bei Google Analytics bestimmen kann, wie lange die erhobenen Daten, auf den Google Servern verbleibt.
Zudem ist bei der DSGVO konformen Nutzung von Google Analytics, auch zu beachten, das Ihr einen Vertrag zur Auftragsdatenverarbeitung ab schlissen müsst.
Die geht mittlerweile direkt in den Einstellungen von Google Analytics unter Kontoeinstellungen > Zusatz zur Datenverarbeitung.
Ganz wichtig das auch jetzt ein Neuer Analytics Code in die Seite verbaut wird. Dieser muss die Möglichkeit des Widerspruchs haben.
Sie So aus das Teil
<script> var gaProperty = 'UA-XXXXXXXX-X'; var disableStr = 'ga-disable-' + gaProperty; if (document.cookie.indexOf(disableStr + '=true') > -1) { window[disableStr] = true; } function gaOptout() { document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; window[disableStr] = true; alert('Das Tracking ist jetzt deaktiviert'); } (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) })(window,document,'script','https://www.google-analytics.com/analytics.js','ga'); ga('create', 'UA-XXXXXXXX-X', 'auto'); ga('set', 'anonymizeIp', true); ga('send', 'pageview'); </script>
Die „UA-XXXXXX-XX“ müssen mit eurer Tracking ID ersetzt werden.
Zum Punkt ShareThis
Ein sehr oft genutztes Tool, dies könnt Ihr einfach durch das Plug-in „Sheriff Wrapper“ ersetzten.
Macht eigentlich genau dasselbe wie ShareThis, nur sendet keine Daten raus.
Das Problem bei ShareThis ist ganz einfach das dieses Tool eigentlich permanent Daten sammelt und an dritte weitergibt. Was eben sehr Kritisch in Augen der DSGVO ist.
Das Gravatar
Ist ja eigentlich kein Plug-in, sondern ein in WordPress, fest verbautes Element. Im Grunde könntet Ihr das einfach abschalten, sieht aber dann Kacke aus. Wer aber sichergehen will und keine Daten nach WordPress Senden möchte schaltet diese aus. Geht in den WordPress Einstellungen unter Diskussionen.
Wer es abgeschaltet hat aber dennoch ein Icon haben möchte, muss wiederum auf ein Plug-in zurückgreifen.
WP-Super Cache
Ein sehr gutes, aber laut DSGVO, nicht zulässigen Tool. Hier werden auch Nutzerdaten, wie bei allen Plug-ins von Automattic, gesammelt und z.b. nach WordPress durchgereicht.
Anstatt des WP-Super Cache, solltet Ihr mit eurem Hoster Verbindung aufnehmen. Das die Daten nicht von Plug-ins sondern direkt über den Server Cache laufen sollen.
Dann braucht Ihr auch mindestens 1 Plug-in weniger und die Seite macht genau dasselbe wie vorher.
Die Kommentare und Kontaktformulare
Dass wenn eigene Kommentare beantwortet werden, eine Benachrichtigung dazu versendet und damit auch Daten weitergegeben werden, sollte eine klare Sache sein.
Hier wurde vom Gesetzgeber auch eine gewisse Grauzone hinterlassen. Hier kann man sich aber auch mit einer Double Opt In Funktion für Kommentare behelfen.
In unserer Kommentarfunktion ist eine Acceptance Checkbox eingebaut, die ganz eindeutig sagt, dass die Daten elektronisch erhoben und gespeichert werden.
Zudem werden die Daten rein zweckgebunden zur Bearbeitung und Beantwortung verwendet.
Dasselbe haben wir auch in unseren Kontakt Formularen.
Damit sollte es jedem Klar sein, das wir die Mails, Natürlich, zum Zweck der Kommunikation mit Kunden aufbewahren.
Fazit des DSGVO Wahnsinns
Es ist leider, ein muss, jeder muss ran, auch wenn es furchtbar Nervt.
Zu bewerkstelligen ist es allemal und eigentlich ist das ganze auch nicht schwer.