WordPress DSGVO-Konform einrichten inkl. Empfehlung!
Inhalt
Du bist WordPress-Nutzer und fragst dich, wie du WordPress DSGVO-Konform einrichten kannst? Dann bist du hier genau richtig, denn ich zeige dir, auf was es ankommt und wie du das Content-Management-System laut Datenschutzgrundverordnung (DSGVO) korrekt nutzen kannst.
Ich werde in diesem Artikel nicht auf alle Plugins oder jede Art von Einrichtung eingehen können, jedoch zeige ich dir, wie du in deiner Standardkonfiguration vorgehen kannst und was du beachten musst. Zudem zeige ich dir ein WordPress DSGVO-Plugin, mit welchem du die DSGVO sowie ePrivacy-Verordnung kinderleicht umsetzen kannst.
Hinweis: Vorab lass mich dir sagen, dass ich natürlich kein Anwalt bin und ich keine rechtskräftigen Aussagen treffen darf. Ich schreibe hier aber selbstverständlich mit bestem Wissen und Gewissen und möchte dich an meiner eigenen Erfahrung teilhaben lassen.
WordPress DSGVO-Konform nutzen
Du bist neuer WordPress-Nutzer, gerade auf genau dieses Content-Management-System umgestiegen oder nutzt es vielleicht schon länger und fragst dich jetzt, wie du dein CMS DSGVO-Konform einrichten kannst bzw. auf du achten solltest?
Die gute Nachricht vorab, damit du WordPress DSGVO-Konform einrichten kannst, stehen dir hier wirklich eine Vielzahl von sehr nützlichen Tools zur Verfügung. Du musst also gar nicht allzu viel können, um WordPress DSGVO-Konform einzurichten, sondern nur wissen, wo, wann und wie du tätig werden musst.
WordPress-System
Ja, auch WordPress setzt von Haus aus Cookies. So werden beispielsweise Cookies für Sitzungen gesetzt, um dir als Nutzer das Arbeiten zu erleichtern. Oder auch, sobald ein Kommentar hinterlassen wird, setzt WordPress Cookies, damit der Nutzer nicht jedes Mal aufs Neue seine gesamten Informationen eingeben muss.
Ich möchte hier gar nicht zu technisch werden, jedoch sollte in diesem Fall der Hinweis in der Datenschutzerklärung vollkommen ausreichen. Denn bei diesen Cookies handelt es sich schließlich um systemrelevante Cookies, welches als “technisch notwendig” angesehen werden.
Bedeutet für dich, du kannst diese nicht direkt via Cookie-Plugin blocken, es reicht, wenn du deine Nutzer in der Datenschutzerklärung darüber informierst. Eine schöne Übersicht zu den technischen notwendigen oder nicht notwendigen Cookies findest du hier.
Kommentar-Funktion
Als WordPress-Nutzer nutzt du mit großer Sicherheit auch die Kommentar-Funktion, zumindest wenn du Blogger bist oder zusätzlich zu deiner Webseite einen Blog betreibst. Gerade hier ist es wichtig zu wissen, wie du WordPress DSGVO-Konform nutzt.
Erlaubnis zur Speicherung personenbezogener Daten
Mit der Kommentar-Funktion in WordPress hinterlässt der Nutzer nicht nur seinen eigentlichen Kommentar zum Beitrag, sondern auch personenbezogenen Daten wie z. B. seinen Namen, seine E-Mail-Adresse sowie die URL zur seiner Website.
Für die Speicherung dieser Daten musst du dem Nutzer die Möglichkeit geben, eine Einwilligung zu erteilen bzw. dieser muss dir explizit die Erlaubnis erteilen. Mit Hilfe des Plugins WP GDPR Compliance kannst du eine simple Checkbox unterhalb des Kommentarfeldes einfügen, welche vor Absendung des Kommentars bestätigt werden muss.
IP-Adresse
Von Haus aus speichert WordPress die IP-Adressen jener Nutzer, welche die Kommentar-Funktion nutzen bzw. ein Kommentar geschrieben haben. Doch wie du dir sicher jetzt schon denken kannst, ist die Speicherung der IP-Adresse für einen Kommentar “unrelevant” bzw. nicht absolut notwendig.
Um also der Datenschutzgrundverordnung (DSGVO) gerecht zu werden, solltest du diese nicht speichern. Wie kannst du die IP-Adressen der Nutzer aber jetzt entfernen bzw. “nicht speichern”?
- Die sicherste Variante ist es, dies über die functions.php Datei zu lösen. Das heißt, du musst die auf deinem Server liegende functions.php-Datei (wp-content/themes/functions.php) öffnen und dort folgenden Code hinterlegen:
function wpb_remove_commentsip( $comment_author_ip ) { return ”; add_filter( ‘pre_comment_user_ip’, ‘wpb_remove_commentsip’ );
- Du kannst ein Plugin wie Remove IP nutzen, welches die vorhandene IP-Adresse des Nutzer durch eine Standard-Adresse ersetzt. Das Plugin wurde jedoch seit langer Zeit nicht mehr geupdatet, weshalb ich dir Variante 1 empfehle.
Avatare
In der Kommentar-Funktion haben Nutzer, welche einen Kommentar hinterlassen die Möglichkeit, ebenfalls ein Avatar zu platzieren. In aller Regel handelt es sich hierbei um ein Bild, welches über ein Drittanbieter-Tool bzw. Service mit der jeweiligen E-Mail Adresse verknüpft ist.
Beim Abruf des Avatars wird jedoch die IP-Adresse des Nutzer an das Drittanbieter-Tool oder den jeweiligen Service übermittelt, was ebenfalls nicht der DSGVO entspricht. Um ganz sicher zu gehen, kannst/solltest du also auch diese Funktion im WordPress-Backend deaktivieren (Einstellungen > Diskussion > Avatare).
Spam-Schutz
Für den Spam-Schutz innerhalb der Kommentare nutze ich das Plugin Antispam Bee, denn dieses übermittelt im Gegensatz zu anderen Plugins dieser Art, in seinen Grundeinstellungen keinerlei Daten an externe Server / Dienste.
Double Opt-In für das Abonnieren von Kommentaren
Viele Nutzer möchten gerne informiert werden, wenn auf ihr Kommentar geantwortet wird oder es einen neuen / anderen Kommentar zum Beitrag gibt. In WordPress kannst du hierfür ein Abonnent zur Verfügung stellen, bei welchem der Nutzer sofort via E-Mail benachrichtigt wird, sobald ein neuer Kommentar veröffentlicht wird.
Damit das Ganze DSGVO-Konform in WordPress umgesetzt wird, muss der Nutzer das Kommentar-Abo via Douple Opt-In bestätigen. Heißt also, er erhält eine Mail, in dem er dem Abo zustimmen muss. Erst wenn er das getan hat, ist das Kommentar-Abo aktiv.
Kinderleicht umzusetzen ist das Double Opt-In mit dem kostenloses Plugin Subscribe to „Double-Opt-in“ Comments.
WordPress-Plugins (Drittanbieter / Services)
WordPress ist ein wirklich tolles Content-Management-System, welches dir zahlreiche Plugins bietet, um dein System zu erweitern. Jedoch solltest du stets daran denken und prüfen, welche Plugins Cookies setzen und/oder personenbezogene Daten speichern.
Denn auch hier musst du im Anschluss tätig werden, damit dein WordPress DSGVO-Konform bleibt. Welche Plugins mir hier natürlich direkt in den Sinn kommen, wären Tracking / Statistik-Tools wie z. B. Google Analytics, PixelCaffeine, PixelYourSite, Google AdSense, Matomo, der Facebook-Pixel und viele mehr. Alle diese Plugins oder Scripte übermitteln und speichern Daten von personenbezogenen Daten auf Servern – zum Großteil im Ausland und außerhalb der EU. Bedeutet für dich, du kannst sie nutzen, jedoch musst du natürlich vorab die Einwilligung der Besucher einholen.
Empfehlung: Borlabs Cookie!
Mit einem Cookie Plugin wie Borlabs Cookie kannst du auf einfache Weise der DSGVO- sowie der ePrivacy-Verordnung gerecht werden. Hiermit kannst du Cookies von Drittanbieter-Plugins mit nur wenigen Klicks hinterlegen sowie verwalten.
Dasselbe gilt natürlich für Scripte wie dem Facebook-Pixel oder ähnliche. Über die Cookie Box können deine Besucher dann selbst entscheiden, ob sie den Cookies zustimmen möchten oder nicht. Borlabs Cookie enthält für eine Vielzahl von bekannten Tracking-/ Statistik-Tools bereits Vorlagen, so dass du quasi nur noch deine ID des jeweiligen Tools hinterlegen und speichern musst.
Spare mit dem Rabatt-Code “BLOGGIRAFFE” 5 % beim Kauf einer Lizenz.
Mit Borlabs Cookie verwaltest du auf einfache Weise deine Cookies übersichtlich, innerhalb von Cookie Gruppen. So kannst du alle Informationen (Name, Laufzeit, Zweck, Herkunft etc.) übersichtlich in deiner Datenschutzerklärung ausgegeben lassen. Das Plugin beinhaltet bereits alle notwendigen Codes.
Direkt zum Borlabs Cookie Plugin (hier klicken)*
Zudem findest du hier eine tolle Übersicht zu einer Vielzahl von Plugins, in der du nachvollziehen kannst, welche Plugins personenbezogene Daten speichern und welche nicht.
Impressum & Datenschutz
Damit WordPress DSGVO-Konform eingerichtet ist, benötigst du natürlich auch eine ausführliche Datenschutzerklärung. Das Impressum hat zwar nicht direkt etwas mit der DSGVO zu tun, dennoch ist es ebenso ein wichtiger Bestandteil deiner Webseite, deshalb werde ich es hier ebenfalls kurz erwähnen.
Impressum
Das Impressum dient deinen Besuchern ganz einfach dazu, um nachvollziehen zu können, welche Person der Betreiber bzw. Inhaber der Webseite ist. Gesetzlich ist die Angabe eines Impressums in § 5 Telemediengesetz (TMG) geregelt.
Im Impressum selbst muss der Name (ggf. Rechtsform), die Anschrift, Kontaktdaten und falls vorhanden, die USt-ID sowie die jeweilige Registernummer hinterlegt werden. Rein private Seiten sind von der Impressumspflicht ausgeschlossen.
Datenschutzerklärung
Relevant für die Datenschutzgrundverordnung (DSGVO) ist die Datenschutzerklärung auf deiner Webseite. Denn in dieser musst du deine Besucher über die Verarbeitung personenbezogener Daten informieren.
Also unter anderem, welche Anbieter erheben überhaupt Daten, was ist der Sinn & Zweck und ganz wichtig, wo und wie werden diese gespeichert.
Da man als Laie meist überhaupt nicht genau weiß, wie man hier am besten vorgehen sollte, um eine rechtskonforme Datenschutzerklärung zu erstellen, empfehle ich dir einen Anbieter wie z. B. eRecht24*!
Bei eRecht24 hast du Zugriff auf einen sogenannten Datenschutz-Generator, der bereits eine Vielzahl von Vorlagen und Anbietern umfasst.
Bedeutet, du wählst einfach die von dir auf deiner Webseite genutzten Anbieter aus, wie z. B. Google Analytics und der Generator erzeugt dir hierfür den entsprechenden Absatz für deine Datenschutzerklärung.
Du wirst hier Schritt-für-Schritt durch den Generator geführt und kannst am Ende deine fertige Datenschutzerklärung einfach kopieren und auf deiner Seite einfügen. Das Gleiche gilt auch für das Impressum. Denn hierfür steht dir auf eRecht24* ebenfalls ein Generator zur Verfügung.
Fazit
Wie du siehst, ist es gar nicht so schwer WordPress DSGVO-Konform einzurichten. Gerade mit den hier genannten Plugins für die Datenschutzgrundverordnung, sind meist nur wenige Klicks nötig, um entsprechende Checkboxen zu platzieren oder Cookies zu blockieren.
Vor allem das Borlabs Cookie Plugin* bietet dir einen extrem großen Umfang von Funktionen, mit welchen du so gut wie jedes Drittanbieter-Tool bzw. jeden Service gemäß der DSGVO auf deiner Webseite einrichten und nutzen kannst.
Ich hoffe, mit den oben genannten Informationen konnte ich dir bereits eine Vielzahl von Informationen an die Hand geben und drücke dir bei der Umsetzung alle Daumen.
Was ist für dich das schwierigste, wenn es um die WordPress DSGVO-Konforme Nutzung bzw. Einrichtung geht?