Viele Webdesignern, Agenturen und Seitenbetreiber nutzen Wordpress.org und die dafür verfügbaren Erweiterungen, Tools und Plugins um Webseiten zu erstellen. Aber kann man Wordpress überhaupt DSGVOkonform nutzen? Welche Wordpress Plugins und Tools sind noch erlaubt? Wo liegen die Risiken und was sollten Sie jetzt konkret tun?
Inhaltsverzeichnis:
WordPress.org Tools & Plugins: Was ist nach DSGVO noch erlaubt?
- Was sind personenbezogene Daten?
- WordPress und die DSGVO: Voraussetzungen für eine Datenverarbeitung
- WordPress und Datenschutz: Das ist zu beachten
- Plugins sichern Kompatibilität von WordPress und der DSGVO
WordPress-Plugins im DSGVO-Check
- Social Plugins
- Sicherheits-Plugins
- Anti-Spam Plugins
- Statistik-Plugins
- Kontaktformulare
- Kommentarfunktion
- Membership-, Community- und Foren-Plugins
- Ladezeit- und Performance-Plugins
- SEO-Plugins
- Bilder- und Medien-Plugins
- Design Plugins
WordPress Tools & Plugins: Was ist nach DSGVO noch erlaubt?
1. Was sind personenbezogene Daten?
Wenn Sie WordPress nutzen, müssen Sie die Vorschriften der DSGVO zwingend beachten. Die DSGVO haben Sie aber nur bei der Verarbeitung personenbezogener Daten anzuwenden. Personenbezogene Daten sind Informationen, die sich auf eine konkrete Person beziehen. Darunter fallen beispielsweise:
- Vor- und Nachname
- Anschrift
- E-Mail-Adresse
- Zahlungsdaten
- IP-Adresse
Die Nutzung von WordPress und die DSGVO-Vorschriften fallen zwangsläufig immer zusammen: Im Grunde speichert ja jeder WordPress-Blog die IP-Adressen der Nutzer. Die DSGVO betrifft also nicht nur Großkonzerne, sondern gleichfalls Vereine, Blogger und Kleinunternehmer. Ausgenommen sind rein private Blogs, die keine Gewinnerzielungsabsicht haben. Sollten Sie eine private Seite betreiben, sollten Sie sich nicht allzu schnell in Sicherheit wiegen. Nutzen Sie Analyse Tools wie Google Analytics, gelten Sie laut der Rechtsprung schon nicht mehr als „privater Betreiber“. Gleiches gilt, wenn Sie Adsense nutzen und Werbebanner oder Affiliate-Links einbinden.
2. WordPress und die DSGVO: Voraussetzungen für eine Datenverarbeitung
Egal, ob Agentur, WordPress-Blog oder Grafikdesigner: Sie dürfen personenbezogene Daten nur unter bestimmten Voraussetzungen nutzen:
- Die Datenspeicherung bedarf einer Einwilligung des Nutzers.
- Der Nutzer ist über die Verwendung seiner Daten zu informieren.
- Das Einsehen, Berichtigen und Löschen von Daten muss möglich sein.
Sie erfüllen diese Anforderungen durch ein simples Pop-Up. Dieses müssen Sie mit einer Belehrung zur DSGVO versehen, beispielsweise mit der Musterbelehrung von eRecht24.
3. WordPress und Datenschutz: Das ist zu beachten
Bei der Nutzung von WordPress hat der Datenschutz oberste Priorität. Sie müssen sämtliche Daten rechtmäßig erheben und verarbeiten. Beschränken Sie die Datennutzung auf den angegebenen Zweck und speichern Sie die Daten nur so lange wie nötig. Außerdem haben Sie dessen Sicherheit zu gewährleisten und die Bearbeitung zu dokumentieren.
4. Plugins sichern Kompatibilität von WordPress und der DSGVO
Sie haben keine Möglichkeit, Ihren WordPress-Auftritt mit nur einer Software auf die DSGVO auszurichten. Es gibt aber viele verschiedene Plugins mit denen Sie eine Webseite DSGVO-konform gestalten können. Die Vereinbarkeit von WordPress und der DSGVO ist mit etwas Fachwissen relativ schnell umsetzbar. Dazu empfehlen wir Ihnen insbesondere die Nutzung der folgenden Plugins:
- Borlabs Cookie: Opt-In-Lösung für Cookies. Eignet sich beispielsweise für Google Analytics und AdSense.
- Disable Embeds von LittleBizzy: Deaktivierung von Embeds. Diese übertragen Daten an soziale Netzwerke wie Twitter und Facebook.
- DSGVO Pixel Mate: Blockiert externe Ressourcen. Ermöglicht die Einbindung von Opt-Ins und Opt-Outs für Google Analytics und den Facebook Pixel.
- Remove Comments IPs: Löscht automatisch IP-Adressen von Kommentatoren nach Ablauf von 60 Tagen.
- Google Analytics Germanized: Bindet Google Analytics datenschutzkonform ein, beispielsweise durch eine IP-Anonymisierung.
- Smart User Slug Hider: Ersetzt Benutzernamen in URLs durch Zahlencodes.
Es existieren viele weitere Plugins, die Ihnen bei der Herstellung einer DSGVO-Konformität helfen.
SSL-Verschlüsselung
Die Vereinbarkeit von WordPress und Datenschutz erfordert eine hochwertige Verschlüsselung. Sie müssen auf eine sichere Übertragung personenbezogener Daten achten. Ob Ihre Webseite eine SSL-Verschlüsselung nutzt, erkennen Sie an dem grünen Schloss in der Browserzeile. Außerdem wandelt sich die http://-Adresse in eine https://-Adresse um.
Google Analytics
Die Nutzung von Google Analytics stellt an die Vereinbarkeit von WordPress und die DSGVO erhöhte Anforderungen. Wenn Sie das Analyse-Tool nutzen, sollten Sie einen Vertrag zur Auftragsverarbeitung mit Google abschließen. Anschließend stimmen Sie im Google Analytics-Konto dem „Zusatz zur Datenverarbeitung“ zu. Mit dem Google Analytics-Tool „Opt-Out“ bieten Sie Ihren Seitenbesuchern eine Opt-Out Möglichkeit: Seitenbesucher haben die Möglichkeit, ihren Besuch durch einen Mausklick vor Google Analytics zu verbergen.
Cookies
Die Vereinbarkeit von WordPress und der DSGVO erfordert die Anpassung von Cookies. Wir empfehlen den Verzicht auf unwichtige Cookies. Unerlässlich sind nur Cookies für den Mitgliederbereich oder den Warenkorb – ihre Nutzung ist aufgrund einer Interessenabwägung gerechtfertigt. Schließlich liegen diese Cookies im Interesse der Seitenbesucher. Sie haben Ihre Seitenbesucher über die Datenschutzerklärung über die exakte Nutzung der Cookies aufzuklären. Wir empfehlen dazu den Einsatz von Cookie-Bannern.
Datenschutzerklärung
Um WordPress und Datenschutz zu vereinbaren, ist eine auf die DSGVO abgestimmte Datenschutzerklärung zwingend notwendig. Platzieren Sie die Datenschutzerklärung so, dass sie von jeder Seite aus gut erreichbar ist. Wir empfehlen die Platzierung in einem eigenen Punkt neben dem Impressum.
Passen Sie den Inhalt der Datenschutzerklärung an die individuellen Besonderheiten Ihrer Internetseiten an.
Praxistipp: Bei eRecht24 Premium finden Webdesigner, Agenturen und professionelle Webseitenbetreiber eine Profi-Generator für Ihre Datenschutzerklärung.
Hosting
Sollten Sie Ihre Webseite bei einem Provider hosten, sollten Sie einen Vertrag zur Auftragsverarbeitung (AV) abschließen. Denn Ihr Provider speichert Zugriffe auf Webseiten in seinen Server-Logs.
Social Media Plugins
Soziale Netzwerke wie Facebook, Twitter & Co. liegen im Trend. Über Share- und Like-Buttons akquirieren Sie schnell Neukunden. Die Vereinbarkeit von Social Media Plugins, WordPress und Datenschutz ist unter der neuen DSGVO erschwert. Viele Buttons stellen eine Verbindung zu sozialen Netzwerken und dem Account der Seitenbesucher her. Sie übermitteln Daten wie das Profilbild des Nutzers und Informationen wie „diesen Freunden gefällt die Seite auch“.
Gravatare
Die Vereinbarkeit von WordPress und dem Datenschutz entscheidet sich an kleinen Aufhängern. Bei Blogkommentaren erkennt der aufmerksame Betrachter kleine Nutzerbilder. Diese ordnet der Service Gravatar.com automatisch der hinterlegten E-Mail-Adresse zu. Komplikationen vermeiden Sie durch die Deaktivierung der Avatare. Dies ist über „Einstellungen“ > „Diskussion“ > „Avatare“ möglich. Plugins wie „DSGVO Patron“ unterbinden das Laden externer Services automatisch.
Kontaktformular und Kommentarfunktion
Die Nutzung von WordPress und eine DSGVO-Konformität erfordert ein Umdenken in vielerlei Hinsicht. Die DSGVO erfordert die Anpassung von Kontaktformularen. Übermitteln Sie Daten nur über eine SSL-Verschlüsselung und informieren Sie den Nutzer über die Nutzung seiner Daten. Das Plugin „WP GDPR Compliance“ ist eine gute Lösung zur Herstellung einer DSGVO-Konformität. Alternativ bietet sich die Integration einer Checkbox mit einem Pflichtfeld an. Gleiche Grundsätze gelten für die Kommentarfunktion. Viele Provider speichern die IP-Adresse von Kommentatoren ab. Deshalb sollten Sie die Speicherung von IP-Adressen unterbinden oder eine automatische Löschung gewährleisten. Dazu empfehlen wir Ihnen das Plugin „Remove Comment IPs“.
Versand von Newslettern
Wenn Sie für den Versand von Newslettern einen externen Dienst nutzen, sollten Sie mit Ihrem Anbieter einen Vertrag zur Auftragsverarbeitung (AV) abschließen. Achtung: Sollte sich Ihr externer Dienstleister außerhalb der Europäischen Union befinden, sind weitere Bestimmungen einzuhalten (Privacy Shield).
Google Webfonts
Services von Drittanbietern sind in Bezug auf die Vereinbarkeit von WordPress und die DSGVO immer problematisch. Es gibt beispielsweise kaum Webseiten, die nicht die Google Webfonts nutzen. Die Schriften sehen ästhetisch aus, übertragen aber die IP-Adresse ihrer Nutznießer. Welche Daten die Webfonts an Google senden, ist nicht geklärt. Das Problem lösen Sie, indem Sie die Schriftarten auf Ihrem lokalen Server einspeichern.
WordPress-Plugins im DSGVO-Check
Es gibt WordPress-Plugins, die personenbezogene Daten sammeln und DSGVO-konform anzupassen sind. Andere Plugins sind wiederum vollkommen unbedenklich. Wir zeigen Ihnen die wichtigsten Plugins im DSGVO-Check.
Als Quelle diente uns die deutlich umfangreichere Darstellung von 200+ Plugins auf https://www.blogmojo.de/wordpress-plugins-dsgvo/
Legende
Rot => Nicht DSGVO-konform
Grün => bedenkenlos nutzbar
Anpassungen notwendig => Anleitung im Premium-Bereich verfügbar
1. Social Plugins
Bei Social Plugins gibt es bezüglich der Vereinbarkeit von WordPress und der DSGVO häufig datenschutzrechtlice Probleme.
|
Rot |
AddThis / Instagram Feed / jQuery Pin It Button for Images / MashShare / Monarch / Share Icons Share Buttons / ShareThis / Social Locker |
|
Grün |
Arqam Social Counter / Better click to Tweet / Blog2Social / Meks Smart Social Widget / NextScripts: Social Networks Auto-Poster / Open Graph for Facebook, Google+ and Twitter Card Tags / Social Count Plus |
|
Anpassung notwendig |
PixelYourSite / Fuse Social Floating Sidebar |
2. Sicherheits-Plugins
Bei den Sicherheitsplugins gibt es viele Plugins, die durch kleine Anpassungen DSGVO-konform werden.
|
Rot |
Google Captcha by BestWebSoft |
|
Grün |
BBQ (Block Bad Queries) / Sucuri Security |
|
Anpassung notwendig |
All In One WP Security & Firewall / iThemes Security / Limit Login Attempts / Limit Login Attemps Reloaded / Login LockDown / NinjaFirewall / SpyderSpanker / WP Limit Login Attempts |
3. Anti-Spam Plugins
Anti-Spam-Plugins nutzen zur Unterbindung von SPAM durchaus IP-Adressen.
|
Anpassungen notwendig |
Askimet / Antispam Bee / WPBruiser / WP-SpamShield |
4. Statistik-Plugins
Auch Statistik-Plugins speichern personenbezogene Daten.
|
Rot |
FeedStats |
|
Grün |
Statify |
|
Anpassungen notwendig |
Count per Day / Google Analytics Dashboard for WP / Google Analytics for WordPress by MonsterInsights / WP Statistics |
5. Kontaktformulare
Die eingetragenen Formulardaten sind naturgemäß personenbezogene Daten. Deshalb hat der Nutzer der Speicherung explizit zuzustimmen.
|
Anpassungen notwendig |
Contact Form 7 / Contact Form by WPForms / Gravity Forms / Ninja Forms / Super Forms – Drag & Drop Form Builder |
6. Kommentarfunktion
Bei Kommentar-Plugins besteht die Gefahr, dass das Plugin personenbezogene Daten wie IP-Adresse und E-Mail weitergibt.
|
Rot |
Disqus Comment System / wpDiscuz |
7. Membership-, Community- und Foren-Plugins
In Mitgliedsbereichen erfolgt die Speicherung personenbezogener Daten wie von E-Mail-Adressen oder sogar von Zahlungsdaten.
|
Anpassungen notwendig |
BuddyPress / Digimember / OptimizePress / Simple: Press / Ultimate Member |
8. Ladezeit- und Performance-Plugins
Es ist kein Ladezeit- oder Performance-Plugin bekannt, das personenbezogene Daten speichert.
9. SEO-Plugins
Bei den SEO-Plugins speichert lediglich das Plugin „Redirection“ IP-Adressen. Dies schalten Sie in den Optionen bei dem Listenpunkt „IP-Protokollierung“ aus.
10. Bilder- und Medien-Plugins
Bei Plugins, die Medien wie Bilder bearbeiten, treten vermehrt DSGVO-Probleme auf.
|
Rot |
Compress JPEG & PNG Images / EWWW Image Optimizer Cloud / Kraken.io Image Optimizer / ShortPixel Image Optimizer / WordPress File |
|
Grün |
Comet Cache / Enable Media Replace / EWWW Image Optimizer / Imsanity / Media Cleaner / Resize Image After Upload / Regenerate Thumbnails / Unite Gallery Lite |
|
Anpassungen notwendig |
NextGEN Gallery |
11. Design Plugins
Viele Design Plugins lassen sich durch einfache Maßnahmen DSGVO-konform gestalten.
|
Grün |
Genesis Columns Advanced / Mag Mega Menu / MaxButton / Popup Builder / Posts in Page / Shortcoder / WP-PageNavi |
|
Anpassungen notwendig |
Elementor Page Builder / Page Builder by SiteOrigin / WP Bakery Page Bilder |
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
Ist dies auch für andere CMS geplant? Joomla, Contao, Typo3, ...?
Abgesehen davon, danke für die Hinweise! Das ist hilfreich.
Ganz recht! Vermutlich verwenden die meisten Blogger die WP.com Version, und dort kann man eben keine fremden Plugins einfügen. Außer der generellen Möglichkeit, eine Datenschutzerklärung automatisch zu erstellen, sehe ich auch von e-recht24 zu wenig Unterstützung.
Wer auf die Erkennung von IP-Adressen verzichten möchte, kann dieses Feature aber auch deaktivieren - eine Möglichkeit die es beim kommerziellen Mitbewerber "Akismet" nicht gibt.
Offensichtlich dient mein Artikel als Grundlage dafür: https://www.blogmojo.de/wordpress-plugins-dsgvo/
Dort finden sich übrigens auch Anleitungen dazu, wie man aufgeführte Plugins DSGVO-konform nutzen kann. Und das völlig kostenlos und ohne Premium-Mitglied zu sein.
Danke!
Finn
Wir haben die Quellenangabe ergänzt.
Aber auch hier muss wieder gesagt werden: Die Blogger Mutti von nebenan muss sich da eben auf so eine Liste verlassen können, weil keinerlei technisches Verständnis vorhanden ist.
PS: Und wenn man als Herr Finnebrandt einen Screenshot seines eigenen Kommentars hier macht und diesen in Facebook Gruppen teilt, weil man hofft, dass der Kommentar dann hier gelöscht wird, um dann e-recht24 einen reinzuwürgen, halte ich dann doch für absolute paranoia und höchst mit Minderwertigkeitskomplexen verbunden.
Darüberhinaus muss ich etwas schmunzeln:
Um diesen Kommentar zu verfassen muss ich zulassen, dass Google mein Verhalten via Recaptcha trackt. Somit geht die IP (die rechtlich ein Teil der persönlichen Daten sind, was aber technisch gesehen Humbug ist, wenn es sich um einen beruflichen Zugang handelt, der von allen Mitarbeitern genutzt wird) an die Google-Server. Dies dürfte meiner Meinung nach ebenso umstritten sein, wie die Nutzung von Google Fonts.
Zitat:
Der Link hier führt zu ein Artikel über die Widerrufsbelehrung.Gibt es auch ein Muster für einen Datenschutz Pop-up? Das wäre sehr hilfreich!