So bereitest Du WordPress auf die DSGVO vor
  • Zuletzt aktualisiert am
  • Webtimiser
  • Wordpress
  • 60

Vermutlich hast Du schon von der kommenden DSGVO gehört? Da diese so gut wie alle Webseitenbetreiber betrifft, habe ich mich etwas intensiver mit dem Thema beschäftigt. In diesem Artikel versuche ich so gut wie möglich zu erklären, wie Du WordPress auf die Datenschutz-Grundverordnung vorbereiten kannst.

Was ist die DSGVO?

Mit der Datenschutz-Grundverordnung (DSGVO) wird ein einheitliches Datenschutzrecht für die gesamte Europäische Union eingeführt. Die Verordnung gilt ab dem ab dem 25.05.2018 und regelt die Verarbeitung von personenbezogenen Daten.

Bei Verstößen können Bußgelder in Höhe von bis zu 20 Millionen Euro  oder bis zu 4 Prozent des Umsatzes verhängt werden.

Was sind personenbezogene Daten?

Personenbezogene Daten sind Informationen, die sich konkret auf eine Person beziehen. Hier ein paar Beispiele:

  • Name
  • Anschrift
  • Bankverbindung
  • Email-Adresse
  • IP-Adresse

Allein schon durch das Speichern der IP-Adresse sind somit fast alle Webseitenbetreiber von der DS-GVO betroffen.

Für wen genau gilt die DSGVO?

Hier gibt es sicher einige Missverständnisse. Viele denken, nur große Unternehmen oder Online-Shops werden von der Neuregelung betroffen sein. Das stimmt so aber leider nicht.

Die DSGVO betrifft alle, die personenbezogene Daten erheben oder verarbeiten. Also auch Freelancer, Kleinunternehmer, Webseitenbetreiber, Blogger und Vereine.

Eine mögliche Ausnahme sind vielleicht rein private Blogs. Doch hier musst Du aufpassen. Denn sobald du Gewinnabsichten verfolgst oder Analyse-Tools nutzt, bist Du auch schon kein persönlicher Blogger mehr.

Wenn Du beispielsweise folgende Elemente auf Deiner Seite hast, wird Deine Seite nicht mehr als rein privat angesehen:

  • Werbebanner
  • Affiliate-Links
  • Google Analytics
  • Adsense

Was ist bei der Verarbeitung der Daten zu beachten?

  • Daten dürfen nur rechtmäßig erhoben und verarbeitet werden
  • Sie dürfen nur für den erhobenen Zweck genutzt werden
  • Datensparsamkeit: es sollen nur die wirklich benötigen Daten erhoben werden
  • Daten sollen nur so lange wie nötig gespeichert werden
  • die Sicherheit der Daten muss gewährleistet sein
  • die Verarbeitung muss dokumentiert werden

In Artikel 5 DSGVO kannst Du die Grundsätze für die Verarbeitung personenbezogener Daten ganz genau nachlesen.

Außerdem musst du noch folgendes beachten:

  • Benutzer müssen Dir Ihre Einwilligung zur Speicherung ihrer Daten geben
  • Du musst Benutzer genau informieren, was mit den Daten passiert
  • Der Benutzer muss seine Daten einsehen, berichtigen und auch löschen können
    Hierfür bietet WordPress 4.9.6 einige Funktionen, die ich hier beschrieben habe.

WordPress fit für die DSGVO machen

Viele Vorschriften gelten eigentlich schon seit längerem, wurden aber von vielen nicht oder nur teilweise umgesetzt.
Da die DSGVO auch mich betrifft, habe ich natürlich sehr intensiv recherchiert. Dabei habe ich sehr viele nützliche Informationen gefunden, doch einige Fragen sind für mich nicht vollständig geklärt.

Trotzdem möchte ich Dir einige praktische Tipps geben, worauf Du bei Deiner Webseite achten musst.

Bei meiner (unvollständigen) Checkliste handelt es sich um meine persönliche Einschätzung. Diese kann keine rechtliche Beratung darstellen oder ersetzen. Ich bin kein Anwalt und kann daher keine rechtsverbindlichen Auskünfte erteilen. Bei Fragen solltest Du Dich an einen Rechtsanwalt wenden.

SSL Verschlüsselung

dsgvo ssl verschlüsselung
Hast Du auf Deiner Seite beispielsweise Kontaktformulare? Oder sind Blog-Kommentare erlaubt? Dann werden personenbezogene Daten übertragen. Und Du musst als Webseitenbetreiber dafür sorgen, dass diese Daten auch sicher übertragen werden.
Genau dafür sorgt eine SSL Verschlüsselung. Diese ist eigentlich jetzt schon für die meisten verpflichtend. Falls Deine Seite noch kein grünes Schloss hat, solltest Du dies also bald angehen.
Zum Glück gibt es inzwischen kostenlose SSL-Zertifikate und auch die Umstellung ist schnell erledigt. Wie Du Deine Webseite auf SSL umstellst habe ich in einer ausführlichen Anleitung beschrieben.

Google Analytics

Google Analytics
Nutzt Du Google Analytics? Dann solltest Du solltest auf jeden Fall überprüfen, ob es auch rechtskonform eingebunden ist.
Damit Du das Analyse-Tool überhaupt rechtssicher verwendet werden darf, musst Du zuerst mit Google einen Vertrag zur Auftragsverarbeitung abschließen.

Das ist übrigens auch schon seit längerem nötig. Falls Du es vergessen haben solltest, kannst Du den Vertrag hier als PDF downloaden. Anschließend musst Du ihn unterschrieben an Google schicken.
Zusätzlich solltest Du noch im Analytics-Konto dem “Zusatz zur Datenverarbeitung” zustimmen.

Zuletzt solltest Du noch den Analytics-Code prüfen:

Wenn folgende Zeile darin enthalten ist, bist Du auf der sicheren Seite.

ga('set','anonymizeIp',true)

Durch den Zusatz anonymize wird die IP-Adresse des Surfers gekürzt und somit anonymisiert.

Zusätzlich solltest Du noch eine Opt-Out Möglichkeit anbieten. Dadurch kann der Benutzer per Klick festlegen, dass sein Besuch nicht von Google Analytics erfasst wird. Am schnellsten geht das mit dem WordPress Plugin Google Analytics Opt-Out.
Wer dem Nutzer eine Opt-In Möglichkeit anbieten möchte, sollte sich Borlabs Cookie genauer ansehen. Damit kann man sämtliche Cookies (auch Adsense) beim Laden der Seite blockieren und erst nach dem Opt-In aktivieren. Mit dem Coupon Code WEBTIMISER erhältst Du einen Rabatt von 5% auf Deinen Kauf.

Datenschutzerklärung

datenschutzerklärung
Wie schon bisher muss die Datenschutzerklärung immer gut erreichbar sein. Am besten als extra Punkt im Menü oben oder im Footer. Dabei aber unbedingt beachten, dass der Punkt nicht von einer Cookie-Bar oder einem Pop-Up Fenster überdeckt wird.

Besonders wichtig ist natürlich der Inhalt der Datenschutzerklärung. Hier musst Du auf alle individuellen Gegebenheiten Deiner Seite eingehen.
Eine gute Unterstützung bei der Erstellung der Erklärung bieten die Online-Generatoren, wie z.B.:

Wenn Deine Datenschutzerklärung aber wirklich vollkommen rechtssicher sein soll, musst Du einen Anwalt kontaktieren.

Ich selbst nutze inzwischen eRecht24 Premium, das jederzeit problemlos kündbar ist. D.h. sobald sich die Wogen geglättet haben und es konkrete Ansagen gibt, werde ich die Mitgliedschaft wieder beenden.

Hosting

Hosting

Dein Provider hostet nicht einfach nur Deine Webseite, sondern speichert Zugriffe in den Server-Logs oder überträgt bzw. speichert Mails. Daher solltest Du mit ihm einen Vertrag zur Auftragsverarbeitung (AV) abschließen.
Viele Hoster bieten jetzt schon die entprechenden Formulare an, bei einigen muss man erst nachfragen.

Social Media Plugins

Kontaktformulare
Viele Share- und Like-Buttons stellen automatisch eine Verbindung zu sozialen Netzwerken her. Daher solltest Du Dir Deine Seite genauer ansehen.
Nutzt Du Teilen-Buttons von Facebook oder Twitter? Oder vielleicht die Facebook-Box in der Sidebar? Diese müssen auf jeden Fall (schon jetzt) weg. Denn Sie stellen schon beim Aufrufen der Seite eine Verbindung zu Facebook her und übertragen persönliche Daten.

Moment gilt die sogenannte Shariff Lösung als die sicherste Alternative. Aber auch hierzu gibt es keine konkrete Aussage. Mit genau diesem Problem habe ich mich bereits vor einiger Zeit in diesem Artikel befasst.

Kontaktformulare


Durch die DSGVO müssen auch Kontaktformulare angepasst werden. Auf jeden Fall müssen Formulare verschlüsselt sein (SSL) und der Absender sollte über die Verwendung seiner Daten informiert werden.
Einige Juristen gehen noch weiter und empfehlen, dass der Absender seine Erlaubnis zur Verwendung der Formulardaten erteilen muss. D.h. jedes Formular benötigt eine Checkbox mit Erklärbärtext, die vom Absender angehakt werden muss.

Die Umsetzung ist recht einfach: Dazu musst Du nur eine Checkbox mit dem Text als Pflichtfeld anlegen. Wenn Du viele Formulare hast, ist das Plugin WP GDPR Compliance eine sehr gute Lösung. Momentan unterstützt es Contact Form 7 und Gravity Forms.

Kommentare

Kommentare
Auch bei Blog-Kommentaren sollte der Benutzer seine Zustimmung erklären. Also muss hier ebenfalls vor dem Abschicken des Kommentars eine Checkbox mit Text eingefügt werden.
Hierfür kannst Du wie für Formulare das Plugin WP GDPR Compliance nutzen.

Ein weiteres mögliches Problem ist das Speichern der IP-Adresse. WordPress speichert diese nämlich standardmäßig zu jedem Kommentar in der Datenbank ab.
Somit werden wieder persönliche Daten gespeichert, was eigentlich vermieden werden soll. Andererseits wird die IP im Fall von z.B. beleidigenden Kommentaren zur strafrechtlichen Nachverfolgung benötigt. Leider gibt es bisher zu diesem Thema keine eindeutige und verbindliche Aussage.

Eine mögliche Lösung: Keine IP-Adresse mehr speichern oder sie zumindest nach einem gewissen Zeitraum löschen.

Um die IP-Adresse künftig nicht mehr zu speichern, genügt ein kleiner Code-Schnipsel. Diesen fügst Du in Deine Theme-functions.php oder eine custom-functions.php ein.

function wpb_remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Die Erklärung zum Snippet und wie Du bereits eingetragene IP-Adressen löschen kannst, findest Du in diesem Artikel von wpbeginner.

Ich selbst nutze inzwischen das Plugin Remove Comment IPs. Damit werden die IP-Adressen automatisch nach 60 Tagen gelöscht.

Newsletter

Newsletter
Versendest Du Newsletter? Dann musst Du schon seit langem das Double Opt-in Verfahren anwenden. Zukünftig dürfen nur die wirklich erforderlichen Informationen als Pflichtfeld erhoben werden.

Wenn Du für den Versand einen externen Dienst nutzt, musst Du mit dem Anbieter einen AV-Vertrag abschließen. Falls Du einen Anbieter außerhalb der EU nutzt, gelten weitere Bestimmungen (Privacy Shield).

Services von Drittanbietern

externe services
Generell sind externe Services auf Deiner Webseite problematisch. Denn sie alle könnten persönliche Daten des Surfers ohne dessen Zustimmung übertragen und nutzen. Genau aus diesem Grund sollte man ja auch nicht den Facebook Like-Button einsetzen oder Analytics ohne rechtliche Absicherung.

Aber es gibt natürlich noch weitaus mehr Drittanbieter, an die man zunächst gar nicht denkt. Was ist z.B. mit der Nutzung von Webfonts oder Gravataren?

Google Webfonts

Es gibt inzwischen kaum noch Webseiten, die auf Google Webfonts verzichten. Auch ich nutze die Schriften teilweise, da Systemschriften einfach nicht ganz so gut aussehen.

Allerdings wird beim Abrufen der Schrift eine Verbindung zum Google Font-Server hergestellt und dabei die IP-Adresse des Users übertragen. Ob und welche weiteren Daten dabei noch an Google gesendet werden, kann keiner so genau sagen. Legt man nun die DSGVO streng aus, dann dürften wir alle kein Google Fonts mehr nutzen.

Das Problem kann man aber lösen, in dem man die Schriftarten lokal auf dem eigenen Server speichert. Dabei sollte man vorher die Lizenzbedingungen prüfen, um mögliche Urheberrechtsverletzungen zu vermeiden. Oder man nutzt Systemschriften, die leider nicht ganz so toll aussehen.

Gravatare

Hast Du Dich schon mal gefragt, woher die Nutzerbilder bei den Blogkommentaren stammen? Diese werden durch den Service von gravatar.com automatisch der hinterlegten Email-Adresse zugeordnet. D.h. ein Benutzer registriert sich dort mit seiner Mail und hinterlegt ein Profil-Bild. Hinterlässt er einen Blog-Kommentar, stellt WordPress automatisch eine Verbindung zu Gravatar her und zeigt sein Bild an.

Falls auch das für die Einhaltung der DSGVO problematisch sein sollte, müsste man die Anzeige von Avataren deaktivieren. Zum Glück geht das recht einfach unter > Einstellungen > Diskussion > Avatare

Das sind nur 2 Beispiele. Es viele weitere externe Dienste, die häufig in WordPress selbst, in Themes oder Plugins seingebunden sind. Ich denke da z.B. an Font Awesome, jQuery, Emojis oder Google Maps. Auch Plugins, wie beispielsweise Askimet oder Jetpack sind schon jetzt problematisch.

Inzwischen gibt es einige Plugins, die das sofortige Laden von externen Services unterbinden wie z.B. DSGVO Patron oder Borlabs Cookie.

Cookies

Cookies
Mit Cookies sollte man grundsätzlich vorsichtig sein. Denn auch hier gilt: die Verarbeitung der persönlichen Daten darf nur rechtmäßig erfolgen. Die genauen Bedingungen werden in Art. 6 DSGVO genannt.
Am besten setzt Du also nur die wirklich notwendigen, die für den Betrieb der Seite erforderlich sind. Z.B. für den Warenkorb oder Mitgliederbereiche.

Diesen Einsatz kann man auf jeden Fall mit einer Interessenabwägung begründen:

…zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Artikel 6 Abs. 1 Satz 1 lit. f zur Textpassage

Eine genauere und schärfere Regelung wird noch mit der ePrivacy-Verordnung im nächsten Jahr folgen. Welche Regelung bis dahin gilt, ist momentan noch recht unklar.

Auf jeden Fall musst Du in der Datenschutzerklärung genau über die Nutzung von Cookies aufklären.
Auch wird empfohlen, ein sogenanntes Cookie-Banner zu nutzen. Dadurch wird der Nutzer über den Einsatz von Cookies informiert und kann Details in der Datenschutzerklärung nachlesen.

Einige nützliche Cookie-Plugins und auch eine Kurzanleitung findest Du in meinem Beitrag Cookie Plugins für WordPress.

Weitere Infos dazu unter:

VG Wort

vg wort
Viele Blogger (auch ich) nutzen die Zählpixel der VG Wort. Dadurch können Autoren ihren Anspruch auf eine Vergütung für ihre Texte geltend machen. Doch auch hier werden natürlich wieder Daten an Dritte übertragen. Ob das mit der DSGVO vereinbar ist?

Laut VG Wort ist das absolut kein Problem, da keine personenbezogenen Daten übermittelt werden. Genaueres kann man in einer schon etwas älteren Pressemitteilung nachlesen.
Zudem wird man sich als Autor sicherlich auf Art 6 DSGVO berufen können. Denn hier überwiegen die “berechtigten Interessen”, sofern die Interessen der betroffenen Personen nicht überwiegen.

Dokumentationspflicht

dokumentationspflicht
Leider bringt die DSGVO auch zusätzlichen Papierkram mit sich. Auch wenn sich das nicht direkt auf die Webseite bezieht, möchte ich 2 wichtige Punkte erwähnen.

AV-Verträge

Verarbeiten andere in Deinem Auftrag die erhobenen Daten weiter? Dann musst Du mit diesen Unternehmen einen Vertrag zur Auftragsverarbeitung abschließen.
Das betrifft wie bereits erwähnt z.B. den Provider, Google oder Deinen Newsletter-Versender.

Verzeichnis der Verarbeitungstätigkeiten

In diesem Verzeichnis musst Du genau auflisten, was Du mit den persönlichen Daten machst. Es besteht aus einem Vorblatt mit den Grundangaben zu Deinem Unternehmen und einer oder mehrerer Anlagen. Diese enthalten dann die Details zu den einzelnen Verarbeitungstätigkeiten.
Ich habe mir dafür die Broschüre Erste Hilfe zur Datenschutz-Grundverordung* gekauft und werde mir die Muster demnächst genauer ansehen. Aber hier gibt es schon jetzt kostenlose Vorlagen zum Downloaden:

WordPress Plugins checken

wordpress plugins
Leider gibt es noch kein DSGVO-Siegel für WordPress Plugins. Daher solltest Du alle Deine genutzten Plugins genau prüfen:

  • Speichert das Plugin personenbezogene Daten?
  • Werden Cookies gesetzt?
  • Stellt das Plugin Verbindungen zu Dritten her?

Am besten überpüfst Du Deine Seite mit den Browser Tools.

Browser tools
Welche Verbindungen stellt die Seite her? Analyse mit den Browser-Tools.

 

Cookie Analyse
Hier siehst Du, welche Cookies gesetzt werden.

 

Nützliche DSGVO WordPress Plugins

  • WP GDPR Compliance
    Ergänzt Formulare, WooCommerce und das Kommentarfomulare um die benötigte Checkbox.
  • GDPR Tools
    Beinhaltet eine Cookie-Bar, Abschalten von Tracking-Services und eine Möglichkeit User-Daten zu löschen.
  • WP GDPR
    Ermöglicht das Handling von Benutzeranfragen in Bezug auf Einsicht und Löschen ihrer Daten
  • Delete Me
    Damit können registrierte Benutzer ihren Account selbst löschen.
  • Google Analytics Opt-Out
    Erlaubt es Nutzern, sich dem Tracking durch Google Analytics zu entziehen.
  • Borlabs Cookie
    Mit diesem Plugin können Nutzer wählen, ob sie Cookies von Drittanbietern oder nur Deine akzeptieren möchten. Momentan wohl die beste Opt-Out Methode für Google Analytics, Adsense und Facebook Pixel.
  • DSGVO Patron
    Mit Hilfe von DSGVO Patron können externe Ressourcen wie z.B. Google Fonts auf dem eigenen Server gecacht werden. Es beihnhaltet noch weitere Features wie das kürzen von Kommentar-IPs und eine Lösung für YouTube-Videos.

Links zum Thema:

Fazit:

Mit der Datenschutzgrundverordnung möchte die EU die persönlichen Daten von uns allen besser schützen. Im Prinzip eine gute Sache. Leider ist die praktische Umsetzung für Nicht-Juristen nicht ganz so einfach. Auch bei mir sind noch einige Fragen offen. Trotzdem hoffe ich, dass Dir meine unvollständige Checkliste etwas weiterhelfen konnte.

Wie hat Dir dieser Beitrag gefallen? 1 Star2 Stars3 Stars4 Stars5 Stars (166 Bewertungen, Ø: 4,78 von 5)
Loading...

Dieser Beitrag hat 60 Kommentare

  1. User Avatar

    Vielen Dank für diesen Artikel.

    Wie sieht es denn hinsichtlich eines Forums aus? Muss ich da jedes Mal eine Checkbox setzen, wenn jemand einen Beitrag verfasst?

    1. Webtimiser

      Hallo Marcel,
      gerne!
      Leider kenne ich mich mit Foren nicht so gut aus und kann dir die Frage nicht beantworten. Denn auch bei Formularen / Kommentaren ist die Checkbox nicht zwingend vorgeschrieben. Sagen jedenfalls einige Rechtsanwälte.

      VG Sonia

  2. User Avatar

    Hallo, vielen Dank für die Informationen, waren sehr ausführlich…. Steffi

  3. User Avatar

    Sehr informativer Artikel. Hat mir sehr weitergeholfen.

    Vielen Dank.

    1. Webtimiser

      Hallo Hakan,
      vielen Dank, freut mich!
      VG Sonia

  4. User Avatar

    Hallo 🙂

    Ein Super Artikel. Eine Frage habe Ich, welche Browser Tools soll man nutzen um zu sehen welche Adressen die Plugins benutzen?

    LG Philipp

    1. Webtimiser

      Hallo Philipp,
      am schnellsten geht es über die Browserkonsole, die jeder Browser hat: F12 drücken und dann in den Netzwerk-Reiter wechseln. Auch von builtwith.com gibt es ein Browser-AddOn.

      LG Sonia

  5. User Avatar

    Wow Sonia,

    vielen Dank für diesen Beitrag! Schade, dass ich das nicht schon früher gefunden habe…Ich schätze ich muss noch ein paar Anpassungen vornehmen.
    Würde mich über weitere so informative Texte sehr freuen.

    LG,
    Andreas

    1. Webtimiser

      Hallo Andreas,
      gerne – schön zu lesen, dass dich die Infos weitergebracht haben!
      LG, Sonia

  6. User Avatar

    Hallo und guten Abend – vielen vielen Dank für diesen so praktischen wie brauchbaren Artikel zum Thema DSGVO! Anhand Deines Artikels habe ich viel viel Ermutigung gefunden, mich mit dem Theam auseinanderzusetzen. Jetzt sehe ich vieles klarer.
    By the way: wolllte noch zusätzlich kurz erwähnen dass es ggf bald eine Gesetzesinitiative gibt zum Thema. Ende Aug soll vom BMJV ein Entwurf eingebracht werden gegen Abmahnmissbrauch. Das wäre auch sehr sehr hilfreich. Dir nochmals vielen dank

    1. Webtimiser

      Hallo Martin,
      vielen Dank für Dein Lob und den Hinweis zur Gesetzeninitiative!

      Viele Grüße
      Sonia

  7. User Avatar

    Sehr ausführlich, leicht verständlich und über aus informativ. Daumen hoch.
    Interessieren wird es mich nur, welche von den Tools die hier empfohlen werden, werden auch hier eingesetzt?

    1. Webtimiser

      Hallo,
      vielen Dank!
      Die meisten Tools habe ich getestet und aktuell nutze ich auf meinen eigenen Seiten folgende:

      WP GDPR Compliance
      Remove Comment IPs
      Borlabs Cookie
      eRech24
      WP User Avatar

      VG Sonia

  8. User Avatar

    Vielen Dank dafür! Ich wurschtel mich für die Erstellung meiner Website gerade durch die Datenschutz-Thematik durch. Endlich habe ich einen Beitrag zur DSGVO gefunden, der übersichtlich und gut verständlich ist. Danke für die vielen Tipps zu Plugins etc.

    1. Webtimiser

      Sehr gerne!
      VG Sonia

  9. User Avatar

    Danke für den tollen Artikel!
    Ich habe aber auch noch eine Frage: Setzt WordPress schon bei der Installation DSGVO relevante Cookies? Also Cookkies die nicht durch Plugins installiert werden sondern von der WordPress Basis Version?

    VG Marc

    1. Webtimiser

      Hallo Marc,
      sehr gerne!
      WordPress selbst setzt nur Cookies für den User-Login und teilweise bei der Kommentar-Funktion.
      VG Sonia

    1. Webtimiser

      Sehr gerne!
      VG Sonia

    1. Webtimiser

      Vielen Dank!

  10. User Avatar

    Danke für die Arbeit, vieles kennt man ja aber was mir wirklich weitergeholfen hat war die “Domain” Ansicht in den Developer Tools, Danke! 😀

    1. Webtimiser

      Gerne!
      Die Developer Tools sind eigentlich immer sehr nützlich!

  11. User Avatar

    Hallo Sonja,
    ich sage nur Wow und danke schön! Der erste Schritt für mich zum Verständnis! Ich habe es durchgelesen und alles Stück für Stück umgesetzt. Sicher? Wohl mitnichten! Aber mit Sicherheit um einiges besser als heute Morgen. Was ein Datenmonster! Ich sage nur “schöne neue Welt!” Wer hätte das gedacht als wir noch vor dem Amiga 500 gezockt haben. Licht und Schatten! Ehrlich gesagt bin ich mir immer weniger sicher ob ich diese schöne neue Glitzerwelt überhaupt mag. Aber bevor ich jetzt mit dem schwafeln anfange (das kann ich gut :-)), nochmals ein dickes, fettes Danke schön!

    Liebe Grüße aus dem schönen Datteln
    Michael

    1. Webtimiser

      Hallo Michael,
      sehr gerne!
      Liebe Grüße nach Datteln,
      Sonia

    1. Webtimiser

      Hallo Denise,

      vielen Dank für den Link-Tipp!

      VG Sonia

  12. User Avatar

    Hallo Sonja, sehr großes Lob für diesen Artikel. Ich habe jetzt den ganzen Vatertag damit zugebracht, meine Datenschutzerklärung zu formulieren, die Formulare anzupassen und WordPress zu konfigurieren. Ich hoffe sehr, dass ich jetzt soweit alles durch habe. Das Abo bei eRecht 24 habe ich auch mal für einen Monat abgeschlossen. Jetzt lasse ich alles mal auf mich zukommen. Einizg offen sind noch meine Bilder beim Amazon Affiliate. Die speichern auch IPs und geben diese weiter und nur Text sieht doof aus.

  13. User Avatar

    Vielen Dank für diesen super Beitrag.
    Mit welchem Browser Tool kann ich eigentlich checken ob mein ausgewähltes WordPress Theme Datenschutz konform ist? Irgendwie finde ich nichts konkretes.

    Lieben Dank und liebe Grüße,
    Mo

    1. Webtimiser

      Hallo Mo,
      ein spezielles Tool für WordPress Themes gibt es nicht. Aber Du kannst builtwith als Browser-Addon nutzen.
      Liebe Grüße
      Sonia

  14. User Avatar

    Hey,

    erst einmal danke für den tollen Artikel, er war sehr hilfreich.
    Was mir aber gefehlt hat, was ich aber vllt auch nur übersehen habe, ist, dass man den Nutzer der Seite vorab informieren muss, welche externen Dienste man verwendet.
    Hierfür gibt es auch bereits ein paar Plugins wie:
    https://wordpress.org/plugins/gdpr-notice-original/

    Könnte man sich ja nochma angucken und wenn es hilfreich ist, mit in die Liste aufnehmen. Ich fand es eigentlich ganz gut.

    Mit freundlichen Grüßen
    Martin

    1. Webtimiser

      Hallo Martin,
      vielen Dank für Deinen Tipp. Werde mir das Plugin mal näher ansehen.

      VG Sonia

      1. User Avatar

        hallo Sonja hallo Martin
        danke fuer eure Beiträge – das ist überwältigend was ihr hier bietet.

        Macht weiter so

  15. User Avatar

    Hi, wie ist denn das mit Rating Stars? Ich benutze auf meiner Seite das GD Rating System. Welches habt Ihr hier bei Euch eingebaut?

    1. Webtimiser

      Hallo Matti,
      nach meiner Info speichert GD Rating die volle IP-Adresse. Ich nutze WP-PostRatings und habe das Speichern der IP nach der Anleitung im Support-Forum deaktiviert.
      VG Sonia

      1. User Avatar

        Ich benutze YASR, das ist schon konform und man kann die IP Adresse abwählen.

        1. Webtimiser

          Hallo Michael,
          vielen Dank für den Tipp!
          VG Sonia

  16. User Avatar

    Hallo und danke für den hilfreichen Artikel.
    Ich habe noch eine Frage speziell zur Verschlüsselung von Kontaktformularen in WordPress.
    Bei meinem Hoster gibt es 4 unterschiedliche SSL-Zertifikate / SSL-Pakete, die unterschiedlich hohe Sicherheit suggerieren ( 1 Schloss-Icon für “Let’s Encrypt”, 2 Schloss-Icons für Starter, 3 für Business oder 4 Schloss-Icons für Business-EV).
    Bei einigen meiner Projekte werden recht sensible Daten über das Kontaktformular abgefragt.
    Reicht es dann auch aus “nur” die Webseite / Domain per SSL abzusichern oder habe ich auch die Möglichkeit das Kontaktformular und die Übertragung per SSL oder besser per TLS (da SSL veraltet) zu verschlüsseln und abzusichern? Am liebsten mit einem WP-Plugin-Form. Meinetwegen aber auch von einem externen, spezialisierten Anbieter für sichere Übertragung und Verschlüsselung.

  17. User Avatar

    Vielen Dank für den Artikel! 🙂
    Eine Anmerkung zu Gravatar + ergänzend WordPress Rest API: Gravatar sollte meiner Einschätzung nach grundsätzlich deaktiviert werden, da die Userinformationen gehasht übertragen werden und theoretisch auslesbar bzw. mit entsprechenden Datenbanken abgleichbar sind. Auch der Zugriff auf die Rest API von WordPress solle eingeschränkt werden, da registrierte Nutzer sich über diese auslesen lassen.

    Zur Überprüfung dazu, wie einfach sich diese Daten auslesen lassen gibt es nachfolgendes Tool, das praktisch aus jeder WordPress-Instanz mit Gravatar oder offener Rest API die betreffenden Nutzerdaten auslesen kann:

    1. Webtimiser

      Hallo Jan,
      vielen Dank für den Hinweis zu dem Tool! Überlege auch schon seit einiger Zeit, ob ich die Gravatare nicht einfach rauswerfe. Leider sehen die Kommentare dann nicht mehr so toll aus…
      Viele Grüße
      Sonia

    1. Webtimiser

      Gerne!
      Viele Grüße, Sonia

  18. User Avatar

    Danke für diesen so erfrischend handfesten Artikel zum Panik-Thema DSGVO! Anhand Deines Artikels habe ich mich schon durch etliche Punkte durchgehangelt und sehe vieles klarer.

    1. Webtimiser

      Hallo Verena,
      freut mich, wenn Dir der Beitrag weitergeholfen hat!
      VG Sonia

  19. User Avatar

    Hat eigentlich schonmal irgendwer dargestellt, was das Ganze für nicht-Selbsthoster (wordpress.com zB) heißt?

    1. Webtimiser

      Hallo Sören,
      kenne leider auch keine umfangreichen Quellen dazu.
      Viele Grüße
      Sonia

  20. User Avatar

    Danke für diesen guten Beitrag zur DSGVO. Hab wieder neue Sachen erfahren, die ich nun noch umsetzen muss.
    Ich hätte da eine Frage: Wie sieht die DSGVO eigentlich Post-Rating-Plugins? Gibt es da überhaupt eins, dass konform ist?
    Viele Grüße Martin

      1. User Avatar

        Super vielen Dank 🙂 Das hilft mir weiter.

  21. User Avatar

    Hallo Sonia,

    erstmal Lob für die super Zusammenstellung! Vorsicht aber beim Einbinden von Google Fonts auf dem lokalen Server! Hier könnte man nämlich gegen das Urheberrecht verstoßen. Das wäre dann – im Gegensatz zu einem Verstoß gegen die DSGVO, der “nur” eine Ordnungswidrigkeit darstellt – sogar ein Straftatbestand. Völlig irrsinnig, aber wahr!
    Viele der Google Fonts werden mit der SIL-Lizenz ausgeliefert, für die der Autor eine “Reserved Font Names” Option nutzen kann. Tut er dies, wäre das Generieren der Webschriften aus dem Font unter gleichem Namen ein Verstoß gegen die Lizenz. Als unproblematisch erachte ich dagegen die Verwendung von Fonts mit der Apache-Lizenz, die diese Option nicht beinhaltet. Das ist – natürlich – nur meine laienhafte Einschätzung und wie immer keine Rechtsberatung 😉
    Welche Schriftart welche Lizenz nutzt, kannst Du hier einsehen: https://fonts.google.com/attribution
    Ein Hinweis auf die Lizenzproblematik findest Du auch in den FAQs zu Fonts bei Google: https://developers.google.com/fonts/faq

    In jedem Fall rate ich bei der lokalen Einbindung eines Fonts dazu, sich die Lizenz genau anzuschauen.

    Viele Grüße,
    Thomas

    1. Webtimiser

      Hallo Thomas,
      vielen Dank für Deinen Hinweis zu den Fonts, den ich gerade eingebaut habe! Bin zwar auch kein Jurist, aber unter Umständen könnten die lokalen Font-Varianten zu Problemen führen.
      Viele Grüße
      Sonia

  22. User Avatar

    Und was ist mit den komplett kostenlosen Versionen von WP?
    Dort kann man nicht viel ändern, nicht viel abschalten und Cookies auch nicht unterbinden.

    1. User Avatar

      Das wäre auch meine Frage gewesen. Vieles lässt sich ja nur mit Plugins o.ä. umsetzen und die kann man nur nutzen, wenn man mehr oder weniger viel Geld dort lässt.
      Wenn Bloggen aber nur ein kleines Hobby ist, lohnt sich das nicht.

      1. User Avatar

        So wie ich das sehe, hat man mit der kostenlosen Variante von WordPress schon deshalb ein Problem, weil diese automatisch Werbung anzeigt. Man sollte also in den “Privat”-Tarif wechseln, der die Werbung ausschaltet. Leider erhält man bei diesem Tarif keinen Zugriff auf die Plugins, sodass es hier nicht möglich ist, irgendwelche GDPR-Plugins zu aktivieren. Zumindest ist das mein Eindruck. Sobald der Blog dann also wieder nicht rein privater Natur ist, hat man auch mit dem “Privat”-Tarif ein Problem.

        Heute soll wohl das große GDPR-Update 4.9.6 rauskommen. Ich hoffe, dass dieses Update auch für den Privat-User entsprechende Updates bereithält, z.B. sollte es wenigstens einen Cookie Consent möglich machen. Dies geht aktuell nur über das “Cookie Consent” Plugin – um das zu nutzen müsste ich 25€ pro Monat zahlen, nur um Plugins installieren zu können. 🙁

        Wie gesagt, ich hoffe, das WordPress GDPR Update hat da heute eine Lösung parat, ansonsten werde ich das private Bloggen wohl aufgeben. 25€ im Monat sind mir dann doch zu viel, um irgendwelchen EU-Regeln zu entsprechen und damit ich mir sicher sein kann, demnächst keine Post vom Anwalt zu bekommen.

        1. Webtimiser

          Hallo Uwe,
          auch bei der kostenlosen Variante gibt es inzwischen neue Features: New Privacy Features. Insgesamt ist es jedoch besser, WordPress auf dem eigenen Server zu hosten. Man hat dadurch viel mehr Möglichkeiten und auch die Preise sind bei den gängigen Hostern recht günstig.
          VG Sonia

  23. User Avatar

    Hallo Sonia,
    das sind mal wirklich hilfreiche Erklärungen zu der DSGVO. Den Tipp mit dem Plugin für die Kommentare werde ich dann auch mal einsetzen..
    Vielen Dank
    LG Tina

    1. Webtimiser

      Hallo Tina,
      freut mich, wenn ich Dir weiterhelfen konnte!
      LG Sonia

Schreibe einen Kommentar

Menü schließen