Datenschutz: WordPress DSGVO sicher machen

with Keine Kommentare

 

WordPress DSGVO sicher machen? Kein Problem. In dieser Anleitung gehe ich alle Punkte Schritt für Schritt durch. Von den Plugins, über Google-Fonts, bis hin zu den Cookies.

 

WordPress DSGVO sicher machen

 

Datenschutz für die Webseite

 

Die Datenschutzgrundverordnung (kurz: DSGVO) macht vielen Websitebetreibern zu schaffen. In den Blogger-Gruppen auf Facebook konnte man verzweifelte Kommentare lesen. Besonders häufig waren Postings der Resignation. Ein Nutzer schrieb zum Beispiel: „Da mache ich lieber den Blog dicht, bevor es zu einer Abmahnung kommt.“

Das muss aber nicht sein. Insbesondere Websites auf WordPress-Basis lassen sich DSGVO-konform einrichten.  Auf diese Punkte müssen Sie achten:

 

Rechtliche Angaben – Impressum und Datenschutz

 

Ihre Website braucht nicht nur ein Impressum, sondern auch einen gesonderte Seite zum Thema Datenschutz. Beides muss auf der Startseite gut auffindbar positioniert werden. Die entsprechenden Texte können Sie per Mausklick mit einem Generator kreieren. Darin sollten Themen behandelt werden, wie:

 

  • Haftung für Inhalte
  • Umgang mit personenbezogenen Daten
  • Recht auf Löschung
  • Cookies
  • Websitetracking
  • Online-Werbung
  • Nutzung von Social Media

 

Ich habe mit folgenden Angeboten gute Erfahrung gemacht:

Impressums-Generator: Hier empfehle ich diesen Link

Datenschutz-Generator: Nutzen Sie dafür den Dienst der DGD

 

Tipp 1: Vergessen Sie im Impressum nicht, den bzw. die Urheber der Fotos zu nennen, die sie auf Ihrer Webseite nutzen. Besonders wenn Sie Bilder von Fotolia und Co gekauft haben.

Tipp 2: Wenn Sie das Impressum und den Datenschutz nicht in den Google-Ergebnissen wiederfinden wollen, können Sie beide Seiten auf noindex schalten. Dann werden sie nicht indexiert.

 

Personenbezogene Daten löschen

 

Sollten Sie eine Anfrage bezüglich der Löschung von personenbezogenen Daten erhalten, gibt es seit den neuesten WordPress DSGVO Updates eine praktische Funktion. Sie versteckt sich unter Werkzeuge und heißt personenbezogene Daten löschen.

 

Personenbezogene Daten löschen um WordPress DSGVO sicher zu machen
So löschen Sie personenbezogene Daten

 

Dort können Sie dann eine entsprechende Mail zum Bestätigen an den Nutzer versenden.

 

Plugins, die nicht WordPress DSGVO sicher sind

 

Bei diesem Punkt wird es etwas kniffeliger. Manche Plugins speichern personenbezogene Daten und senden diese an Server aus dem Ausland. Diese Plugins sollten deaktiviert werden. Daraus ergeben sich zwei Probleme.

Wie kann man als Laie sehen, ob Plugins von WordPress DSGVO konform sind?

Welche sicheren Alternativen gibt es?

Tatsächlich ist es für einen Laien sehr schwierig, kritische Plug-Ins zu erkennen. Aber immerhin gibt der Blick in die Entwicklerkonsole erste Hinweise. In Chrome geht das unter Windows mit Strg+Umschalt+I. Klicken sie danach auf Sources. In der Regel finden Sie dort Dienste wie:

 

  • Google (Tracking),
  • Amazon (Werbung),
  • YouTube (Videos) oder
  • Facebook (z.B. für den Facebook-Pixel)

 

Fonts.googleapis ist beispielsweise für die Schriften zuständig, zu denen wir später noch kommen.

Jetzt haben Sie immerhin eine Grundlage auf der Sie weitere Nachforschungen betreiben können. Aber viele kritische Plugins lassen sich auch dadurch noch nicht erfassen. Aus diesem Grund habe ich eine Liste mit den weitverbreitetsten Plugins erstellt, die nicht WordPress DSGVO sicher sind:

 

  1. Share Icons Share Buttons – sichere Alternative: Shariff (link)
  2. Google Captcha (von BestWestSoft)
  3. Wordfence Security
  4. Disqus Comment System
  5. EWWW Image Optimizer Cloud
  6. Compress JPEG & PNG images – sichere Alternative: Smush
  7. WordPress File Upload
  8. WooCommerce ohne Anpassungen – siehe dazu: https://woocommerce.com/gdpr/
  9. BackUpWordPress, wenn ein Cloud Server genutzt wird
  10. Jetpack ohne Anpassungen – siehe hier https://jetpack.com/support/privacy/
  11. Thirsty Affiliates

 

Cookies, Google Analytics & Facebook-Pixel

 

Wenn Ihre Seite Cookies nutzt, brauchen Sie einen Cookie-Hinweis. Heutzutage verwendet fast jede Webseite diese Technologie. WordPress macht das keine Ausnahme.

Tipp: Ob eine Webseite Cookies speichert, kann man über die Browsereinstellungen herausfinden. In Chrome gehen Sie dazu unter Einstellungen auf Erweitert. Dann auf Inhaltseinstellungen und Cookies.

 

Cookies
Speichert der Browser Cookies?

 

Also muss ein entsprechender Hinweis eigeblendet werden, wenn ein neuer User Ihre Webseite besucht. Am besten verlinken Sie dort den Datenschutz gleich mit.

Wenn Sie Analytics nutzen, müssen Sie darauf ebenfalls hinweisen und eine Möglichkeit zum Opt-Out anbieten, die das Tracking unterbindet. Außerdem müssen Sie die IPs der User anonymisieren. Ergänzen Sie dazu einfach den Code um die markierte Zeile:

 

ga(‘require’, ‘linkid’, ‘linkid.js’);
ga(‘set’, ‘anonymizeIp’, true);
ga(‘send’, ‘pageview’);

 

Tipp: Ob das Ganze funktioniert, können Sie über das Echtzeit Tracking in Analytics prüfen. Machen Sie den Selbsttest.

 

Zu guter Letzt müssen Sie auch noch auf den Facebook Pixel hinweisen und auch hier eine Opt-Out Möglichkeit anbieten. Ich empfehle alle diese Hinweise zu kombinieren. Sonst bekommt der User drei Meldungen nacheinander präsentiert.

 

Social Share-Buttons

 

Bei Social Share Buttons von Facebook, Instagram, Pinterest, Twitter und Co müssen Sie auf ein Plugin zurückgreifen, dass WordPress DSGVO sicher ist. Falls Sie schon eines nutzen, ersetzen Sie es lieber durch das Datenschutz-konforme Sharif.

 

Google Fonts & Maps

 

Sowohl die Google Fonts als auch Google Maps sammeln Daten und speichern diese auf den Google-Servern im Ausland. Also am besten beides deaktivieren. Bei den Schriften ist das aber unter Umständen etwas schwierig. Manche Themes bieten hierzu eine Option in den Einstellungen. Oft hilft es nämlich nicht, einfach überall eine andere Schriftart zuzuweisen. Wer auf die Fonts nicht verzichten kann, hat noch die Möglichkeit, Google Fonts lokal zu hosten. Dazu müssen die Dateien heruntergeladen und auf dem Server gespeichert werden.

 

YouTube Videos

 

YouTube Videos müssen in WordPress DSGVO konform eingebunden werden. Wer den clip über iFrame einbindet muss dazu nur den Code ergänzen um den nocookie-Parameter ergänzen.

 

<iframe width=”560″ height=”315″ src=”https://www.youtube-nocookie.com/embed/GaNKDzVwvQE” frameborder=”0″ allow=”autoplay; encrypted-media” allowfullscreen></iframe>

 

Das geht auch über ein entsprechendes Häkchen in YouTube unter embed.

 

SSL, Formulare und Kommentare

 

Wenn ein Nutzer einen Kommentar hinterlassen möchte oder ein Kontaktformular absendet, muss er die Datenschutzbestimmungen akzeptieren. Platzieren Sie ein entsprechendes Häkchen unter dem Formular und verlinken Sie dort auch den Datenschutz. Ist das Häkchen nicht gesetzt, sollte das Formular auch keine Daten senden.

Wenn dabei eine E-Mail Adresse oder ein Name abgefragt werden, müssen die Daten zusätzlich über SSL verschlüsselt werden. Ich empfehle aber auch sonst ein solches Sicherheits-Zertifikat, das Sie bei Ihrem Host bestellen können.

 

Gravatare deaktivieren
So aktivieren Sie die Avatare

 

Auch die Avatare bzw. Gravatare sammeln Daten. Sie können diese Funktion in den WordPress Einstellungen unter Diskussion ganz einfach deaktivieren. Entfernen Sie einfach das Häkchen.

 

Fazit: Es geht doch

 

Sie können in sieben Schritten WordPress DSGVO sicher machen. Am besten arbeiten Sie dazu schrittweise die Liste ab. Allerdings möchte ich kurz anmerken: Abschließend möchte ich noch kurz darauf hinweisen das dieser Text natürlich keine Rechtsberatung ist/sein kann. Im Rahmen meiner Arbeit als Webdesigner habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte und der Inhalte auf Ihrer Website bzw. Ihrem Newsletter keine Haftung übernehmen.

Darüber hinaus sollten Sie prüfen, ob Sie noch sogenannte Data Processing Addendums benötigen. Dabei handelt es sich um Verträge zur Datenverarbeitung (z.B. mit Ihrem Host, Google & MailChimp).

 

Zum Weiterlesen: mehr Reichweite auf Facebook

So bekommen Sie mehr Reichweite für Ihre Posts.