Heute habe ich mich mit dem Thema DSGVO (Datenschutz-Grundverordnung) bzw. GDPR (General Data Protection Right) auseinandergesetzt, damit dieser Blog datenschutzkonform bleibt. Ab dem 25.05.2018 tritt diese in Kraft. Welche Anpassungen ich vorgenommen und welche Plugins ich entfernt habe, das zeige ich Dir in diesem Beitrag.
Zunächst möchte ich zwei Quellen nennen, die ich genutzt habe:
https://dsgvo-gesetz.de
https://www.blogmojo.de/wordpress-plugins-dsgvo/
https://wp-ninjas.de/wordpress-plugins-dsgvo
Hinweis: Dieser Artikel soll Dich dabei unterstützen, wie man die DSGVO einhalten kann und was zu berücksichtigen ist. Er stellt aber keine rechtsverbindliche Anleitung dar.
Diese Änderungen habe ich vorgenommen
Ginger EU Cookie Law durch WP DSGVO Tools ersetzt
Auf der Suche nach einem guten Plugin, bin ich auf WP DSGVO Tools gestoßen. Es gibt viele unterschiedliche Plugins, ob dies die beste Wahl war, kann ich nicht sagen. Bisher stört mich daran, dass bei mir die Platzhalter für Impressum und Datenschutz nicht funktionieren. Da ich diese bereits habe, war es mir egal.
Es bietet aus meiner Sicht jedoch eine besseren Cookie-Banner und noch die Möglichkeit bei den Kommentaren einen Hinweis mit Checkbox-Abfrage zu integrieren. Darüber hinaus werden Seiten wie Impressum und Datenschutz vorformuliert. Die Texte sollen mit Rechtsanwälten abgestimmt sein.
Akismet entfernt
Alle über das Kommentarformular eingegebenen Daten, wie Name, E-Mail, Kommentartext sowie die IP-Adresse des Nutzers werden an externe Server in den USA gesendet.
Lösung: Das Plugin Akismet Privacy Policy blendet einen Hinweis bei jedem Formularen ein.
Dennoch habe ich mich dagegen entschieden, da sonst zu viele Hinweise an den Formularen kleben würden.
Antispam Bee installiert
Als Alternative für Akismet habe ich Antispam Bee installiert.
Es ist in den Standardeinstellungen datenschutzkonform. Du solltest jedoch darauf achten, dass die Einstellungen „Öffentliche Spamdatenbank berücksichtigen“, „Kommentare aus bestimmten Ländern blockieren“ und „Kommentare nur in einer bestimmten Sprache zulassen“ deaktiviert sind. Ansonsten werden personenbezogene Daten an externe Server gesendet.
Remove Comment IPs installiert
Um die Privatsphäre der aktiven Nutzer weiter zu schützen, habe ich das Plugin Remove Comment IPs installiert. So werden IP-Adressen, die älter als 60 Tage sind automatisch von den Kommentare gelöscht. Die IP-Adresse wird bei den Kommentaren eh nur für den Fall von Rechtsverletzung benötigt.
Google Fonts weiterhin deaktiviert
Damit Google keine Daten von Personen, die nicht mit Analytics getrackt werden wollen, habe ich Google Fonts weiterhin deaktiviert. Ansonsten wäre lediglich ein Hinweis in der Datenschutzerklärung erforderlich.
SSL-Verschlüsselung
Sichergestellt, dass die Zertifikate mittels Letsencrypt weiterhin funktionieren.
Google Analytics Opt-Out eingebunden
Mit Hilfe des Plugins Google Analytics Opt-Out habe ich dafür gesorgt, dass auf der Datenschutz-Seite ein Opt-Out-Link eingebunden ist.
Gravatare und Emojis deaktiviert
Die Bilder von Nutzer kommen von den Servern von Gravatar, dabei wird an diese Server auch die IP-Adresse des Nutzers übertragen. Diese Bilder bieten zwar einen Mehrwert zur Wiedererkennung der Nutzer, aber auch hier möchte ich nicht, dass die IP-Adresse an andere Server übermittelt wird. Über die folgenden Einstellungen in WordPress kann diese Funktion deaktiviert werden: Einstellungen -> Diskussion -> Avatare anzeigen = deaktiviert.
Der externe Aufruf von Emojis kann über das Plugin Disable Emojis deaktiviert werden. Auch hier stammen die Bilder von externen Servern.
Jetpack weiterhin deinstalliert
Auch das beliebte Plugin Jetpack überträgt viele Daten an US Server. Darüber hinaus bremst es die Seite stark aus. Dieses PLugin hatte ich bereits zum Serverumzug Anfang des Jahres deaktiviert, um die Performance zu steigern.
Fazit
Die neue Datenschutz-Grundverordnung (DSGVO) reguliert ab dem 25.05.2018 im Grunde das, was in den letzten Jahren eh schon Common-Sense war. Teilweise sind die Anforderungen etwas überzogen (z. B. Hinweis beim Kommentieren) aber im Zuge des Daten-Diebstals und -Handel möchte man schon wissen, was mit seinen Daten passiert und sie in „gute Hände“ geben.
Es bleibt abzuwarten inwiefern WordPress zum Start DSGVO-konform wird und welche Plugins noch nachziehen. Obige Links bieten Dir einen guten Überblick, welche Plugins die DSGVO erfüllen oder wie sie angepasst werden können. Teilweise muss man sich auch von Plugins trennen, die mit den Daten der Nutzer nicht seriös umgehen.
Hi Dennis,
momentan tauchen auf vielen Blogs Beiträge zum Thema DSGVO auf und man ließt auch sehr viel Unsinn darüber. Daher möchte ich Dir gern folgenden freundlich gemeinten Hinweis hinterlassen:
Wenn man Deine Seite besucht taucht unten dieser Banner auf, der einen Benutzer auf die Verwendung von Cookies hinweist und bietet die Möglichkeit, die Verwendung von Cookies abzulehnen. Allerdings sind in diesem Moment bereits 3 Cookies platziert, die nicht entfernt werden, wenn ich der Verwendung von Cookies widerspreche. Das könnte man böswillig auch Irreführung nennen, weil es das suggerierte nicht den Tatsachen entspricht.
Eigentlich gibt es an dieser Stelle nur zwei Lösungen:
1) Google Analytics wird erst geladen, wenn ich akzeptiert habe – denn daher kommen die Cookies. Sollte ich widersprechen, wäre das Tracking abgeschaltet. Mir ist jedoch vollkommen klar, dass Dich interessiert, wie Deine Leser auf Inhalte reagieren, daher wäre in diesem Zusammenhang sicher Variante 2 besser.
2) Verzichte auf den Ablehnen-Button. Sicher hast Du das gut gemeint, Cookies ablehnen zu können. Allerdings ist es dann schon zu spät. Also lieber nichts vorgaukeln, was nicht stimmt.
Im Übrigen führt das betätigen des Ablehnen-Buttons dazu, dass ein weiterer Cookie gesetzt wird – obwohl ich das doch gerade verhindern wollte.
Viele Grüße, Sebastian
Hi Sebastian,
Danke für den Hinweis. Ich werde den Ablehnen-Button entfernen, auch wenn mir Variante 1 besser gefallen würde. Aber dann fehlt mir das Tracking und ich könnte erst messen, wenn zugestimmt wurde.
Viele Grüße
Dennis