WordPress DSGVO konform gestalten
Gleich vorweg: ich hasse es, diesen Artikel zu schreiben. Die DSGVO mag von der Grundidee gut gedacht sein, aber in der Umsetzung wird es kleine und mittelständische Betriebe treffen. Google, Facebook & Co sind bereits fein raus – EU Verordnungen halt. Aber bevor wir uns in gemeinsame Hasstiraden einstimmen, die ePrivacy Verordnung 2019 wird noch lustiger.
Disclaimer! Ich bin kein Jurist und das ist in keiner Weise eine Rechtsberatung. Bei Risiken und Nebenwirkungen nimm dir bitte einen Anwalt oder lösch deine Seite!
Wie nun also WordPress am besten DSGVO konform machen?
Webhosting
Da du in der Regel deine WordPress Seite bei einem Webhoster wie hosteurope, domainfactory, netcup, all-inkl.com etc. gehostet hast, musst du mit diesem einen Vertrag zur Auftragsdatenverarbeitung abschließen. Dazu direkt den Support um Rat fragen. Dieser Vertrag (kurz: ADV) muss abgeschlossen werden, da der Hoster für dich immer die Daten verarbeiten wird, die für deine Webseite (und E-Mails) anfallen.
SSL jetzt! Jede Seite braucht ein SSL-Zertifikat (dieses grüne https oben in der Browserzeile). Ein solches Zertifikat sollte über Letsencrypt immer kostenlos möglich sein. Wenn dein Hoster das nicht anbietet, dann entweder jetzt sofort wechseln oder in den sauren Apfel beißen und eines kaufen. Jede Webseite, die Daten verarbeitet, z.B. auch nur durch ein Kontaktformular, muss diese verschlüsselt übertragen. Der Login zu WordPress sollte sowieso nur verschlüsselt ablaufen. Nach der Aktivierung des Zertifikats ist aber noch nicht alles erledigt. Du musst WordPress sagen, dass es immer auf https weiterleiten soll und alle Sources über https nachgeladen werden sollen. Nutze dazu entweder Better Search und Replace und lasse alle URLs in der Datenbank mit http durch https ersetzen (aber bitte vorher unbedingt ein Datenbank Backup machen!):
Oder probiere:
Updates! Wenn du schon dabei bist, bring WordPress auch gleich auf den aktuellen Stand: installier Updates und schalte danach die PHP Version im Webhosting direkt auf mindestens php7.0.
Server
Für alle, die einen Server betreiben, hier ein paar kurze Überlegungen:
- Was wird wie wo und wie lange als Backup gespeichert? Passe deine Skripte sinnvoll an! Niemand braucht Datenbanksicherungen von vor einem Jahr. Wenn doch, überleg dir eine gute Begründung! Und vor allem: was machst du genau bei einer Löschanfrage mit allen Backups?
- Welche Logfiles fallen wo an und wie lange werden sie vorgehalten? Logrotate einstellen! Auch der Webserver braucht keine Logrotate von 52 Wochen.
- Überprüfe deine Webserver SSL Settings: Ciphers, Strict Transport Security etc. Folgender Beitrag hilft dir perfekt weiter.
Die Datenschutzerklärung
Deine Seite braucht einen eigenen Punkt im Menü, der immer nur einen Klick auf jeder Seite entfernt ist, der auf Datenschutzerklärung hört. Dort solltest mithilfe eines Generators alles Wesentliche drinstehen haben. Ich empfehle zwei Anbieter:
- für kleine Blogs und Seiten ohne e-Commerce: e-recht24.de
- für Shops und große Blogs: IT Kanzlei München
Letztere hat eine Abmahnabsicherung mitinbegriffen. Ob die im Zweifelsfall zieht, wenn man trotz Warnung Embeds, Google Analytics etc. falsch verwendet, ist dennoch fraglich. Aber alle Rechtstexte werden bei zweitem Anbieter automatisch aktualisiert.
WordPress Core
WordPress selbst ist vor kurzem in der Version 4.9.6 erschienen und bringt bereits ein paar DSGVO Sachen mit, die aber nicht ausreichen. Sofern noch nicht geschehen, updaten! Folgendes ist nun u.a. möglich:
- Datenexport für Anfragen
- Datenlöschung für Anfragen
- Datenschutzerklärung verankert im Core mit Beispieltext
- Datenschutzerklärungslink auf der Admin Loginseite
Wesentlich entscheidendere Punkte wie Gravatar oder oEmbed wurden leider nicht näher behandelt, da die WordPress Community eben nicht jeden bürokratischen Quatsch einzelner Länder als sinnvoll nimmt oder anders formuliert auf meine Anfrage:
I am not, nor will ever be, a fan of such regulation. That said, that was created as a reaction to real abuses from entities on the Internet and elsewhere.
In many places, your data is your own. I can’t obtain your data and do what I like with it there.
In other regions or countries? The data belongs to the data collector and they can do anything they want with that collected data. That has lead to some real abuses for real people being victimized.
Welche Probleme sind im Core noch offen?
Wie erwähnt ist es strittig, ob das direkte Laden von Einbettungen über oEmbed wie YouTube, Instagram etc. erlaubt ist. Es gibt kostenpflichtige Plugins wie Borlabs Cookie, die das bereits handlen, aber der Preis ist mir für unlimited Seiten einfach zu hoch. Bevor ihr das Tool kauft, lieber noch zwei Tage abwarten. Es braucht auf jeden Fall eine Two Click Privacy Lösung, um auf Nummer sicher gehen zu können. Das gilt auch für Google Maps – nichts desto trotz ist es eine Grauzone!
Jede WordPress Seite nutzt Gravatar, um Avatare automatisch bei neuen Kommentaren anzeigen zu können sofern vorhanden. Das muss abgestellt werden und ist ganz leicht unter Einstellungen => Diskussion möglich: Avatare anzeigen abhaken, fertig.
Damit Kommentatoren bei Antworten auf ihre Kommentare benachrichtigt werden dürfen, braucht es ein Double Opt-In sowie das Bestätigen der Datenschutzerklärung. Nutze dafür folgende Tools – nach der Installation konfigurieren:
Damit bei Kommentaren keine IP-Adressen gespeichert werden, was nach DSGVO verboten ist, da kein berechtiges Interesse vorliegt, nutze bitte:
Dieses Plugin ist zwar älter, aber es gibt nur eine Alternative, die die IP-Adressen erst nach zwei Wochen löscht. Damit im WordPress Kern kein Emoji Skript nachgeladen wird, nutze folgendes Tool:
Zu guter letzt: mach ein paar Tests bei den Kommentaren und überprüfe, ob alles richtig funktioniert.
WordPress Plugins
Ich werde nur auf die wichtigsten Rubriken eingehen, aber generell kannst du nach folgendem Schema vorgehen:
- Brauche ich dieses Tool zwingend auf meiner Seite?
- Was genau wird da alles anhand der Einstellungen geladen: Google Fonts, Captcha, Maps, Facebook Like Button etc. Schalte alles ab, was du abschalten kannst und wovon du relativ sicher weißt, dass es nicht so gut ist.
- Wenn es nicht abzuschalten ist, weg damit.
- Kein Besuchertracking
- Kein Facebook Pixel, keine Social Plugins
- Kein Adsense
- Beantwortung der Frage: könnte dieses Plugin kostenlos sein, weil es sich Daten holt?
Tracking
Da man natürlich schon wissen mag, wie oft welche Seiten aufgerufen wurden, kann ich euch diese beiden Plugins ans Herz legen – sie messen nur die Aufrufe und nicht die Besucher selbst:
WooCommerce
Das WooCommerce Update betreffs GDPR wird kurz vor knapp erwartet und hat laut Ankündigung folgende Elemente parat:
- “Better formatting for inline descriptions should someone which to include just in time privacy text next to fields, and some simple tools to toggle non-critical fields off to avoid unnecessary data collection.
- Custom terms and conditions text, and control over the checkbox + label itself.
- In progress personal data export and bulk order anonymize”
Sollte das Update raus sein also auf jeden Fall die Checkout Felder überprüfen und die Datenschutzerklärung korrekt einbinden. WooCommerce Germanized z.B. könnte dann etwas zicken. So oder so empfiehlt es sich, mit German Market zu arbeiten.
Nichts desto trotz schreibt der Hersteller selbst, dass da noch mehrere Sachen kommen werden, aber eben nicht sofort. Überprüft in diesem Zusammenhang vor allem auch eure WooCommerce Erweiterungen und inwiefern diese problematisch sein könnten. Das ist auch eher etwas für die Datenschutzerklärung, in der ihr diese Tools natürlich vollständig erwähnen müsst.
Kontaktformulare
Weiter oben habe ich bereits das Plugin WP GDPR Compliance empfohlen. Das bietet auch neben WooCommerce für Kontaktformulare Checkboxen an. Ich bin mir noch unschlüssig, ob ich auf ganz allgemeine Kontaktformulare diese Box setzen soll – denn: wenn der Nutzer die Datenschutzerklärung akzeptiert, bevor er die Mail schicken kann, räumst du ihm ein Löschrecht ein. Dann viel Spaß beim Löschen aller Reste einer solchen Anfrage (Backup des Providers nicht vergessen).
Bei Formularen, die z.B. einem Vereinsbeitritt dienen oder ähnlichem sollte man diese Box auf jeden Fall einfügen.
Cookie Notice
Auch wenn es erst zur ePrivacy Verordnung wirklich wichtig wird, sollte auf eurer Seite bereits eine Cookie Notice sichtbar sein. Bestätigung, Weiterlesenlink zur Datenschutzerklärung und evtl. Ablehnung, wenn ihr in der Cookie Notice ein Trackingskript einbettet. Folgende kostenlosen Tools nutze ich (Borlabs Cookie für alle mit großem Geldbeutel):
Newsletter
Wenn ihr Newsletter verschickt, holt euch von allen bestehenden Kunden die Erlaubnis ein, dass ihr das weiter anhand der neuen Bestimmungen tun dürft. Und stellt immer Opt-In und Opt-Out Formulare bereit. Regelt klar in der Datenschutzerklärung, welche Daten wo verarbeitet werden. Mailchimp ist sicherlich ein guter Anbieter, aber wenn ihr keine Ahnung habt, wie ihr von diesem einen ADV erhaltet, dann Finger weg!
Es gibt auch für WordPress lokale Plugins, die die Daten bei euch speichern:
WordPress und Designelemente
Derzeit ist nicht klar, inwieweit Google Fonts und andere CDNs wie z.B. auch Font Awesome problematisch sind. Generell heißt es zwar, dass man Google Fonts lieber lokal hosten sollte, aber rein lizenztechnisch ist das bei einigen Schriften schlicht schon nicht möglich. Und auch wenn man die Google Fonts lokal über Custom CSS einbindet, läuft das Google Fonts Skript trotzdem noch, weil es die meisten Theme Hersteller automatisch einbinden. Es wird zwar in der Regel keine Font mehr geladen, aber es ist noch im Head-Bereich der Seite eingebunden.
Was nun? Wer auf Nummer sicher gehen möchte, sollte sich zunächst die Schriften besorgen. Über das verlinkte Tool könnt ihr jede Schrift herunterladen und ihr erhaltet bereits eine CSS Anweisung dazu. Die stimmt von den Pfaden noch nicht ganz, aber das ist ja leicht anzupassen. Erstellt dann ein Child-Theme, ladet die Fonts in einen eigenen fonts Ordner und passt die Pfade der Vorlage in der style.css eures Child-Themes an. Das war es auch schon. Wer noch weiter gehen möchte, kann gern dem Theme Support schreiben, wie man über die functions.php die Google Fonts Skripte dequeuen kann. Bei manchen Frameworks ist das keineswegs einfach.
Persönlich werde ich daran jetzt erstmal nicht viel rütteln, weil auch gar nicht klar ist, was Google denn überhaupt an Daten erhebt. Das gleiche gilt für andere Anbieter wie Font Awesome oder selbst jQuery. Da warte und hoffe ich auf ein paar klärende Urteile, weil wenn das Bestand hat, können wir das Internet in der EU tatsächlich abschalten.
Schaut euch auf jeden Fall die Theme Options durch und versucht nicht benötigte Funktionen wie Facebook SDK Skripte und ähnliches zu deaktivieren.
Avada
Die Hersteller des Themes Avada haben heute eine neue Version herausgebracht, die die wichtigsten DSGVO Punkte beinhaltet:
- Google Fonts lokal laden
- Embed mit Two Click Variante ausstatten
Mach den Check
Wenn du fertig bist, mach den Check: https://webbkoll.dataskydd.net/ – aber Achtung, es überprüft nur die gerade aufgerufene Seite und nicht alle Unterseiten 😉
Alternativ kannst du auch direkt im Browser nachsehen. Installier dir die Tools Privacy Badger und uBlock Origin:
Beide zeigen dir beim Aufruf jeder Seite an, welche externen Ressourcen dich verfolgen. Zusätzlich kannst dir den Seitenquelltext ansehen.
Und neben der Webseite
Für Shopbetreiber und Freischaffende ist es damit noch nicht getan: ihr müsst auch ein Verarbeitungsverzeichnis über die Tätigkeiten führen, bei denen ihr Daten verarbeitet. Wie das geht und warum, kann ich an der Stelle nicht klären, aber jedes Bundesland bzw. der Bund selbst stellt Muster bereit.
Einfacher oder besser wird es dadurch leider auch nicht. Beachte auch weitere Stolperfallen wie die Nutzung von WhatsApp für kommerzielle Zwecke oder sogar Visitenkarten.
Ich habe etwas vergessen oder hier ist etwas falsch? Schreib mir gern, aber auch nur, wenn du wirklich willst, dass deine Daten bei mir landen!
Achja, laut Nina Diercks aus der Anwaltszene ist eigentlich alles halb so wild.
Würde mich interessieren, ob die Ergebnisse von https://webbkoll.dataskydd.net/ irgendjemand in Zusammenhang bringen kann was auf dieser Seite angesprochen wurde. Selbst Webseiten die nach obenstehenden Richtlinien umgesetzt werden (nicht von Nerds, sondern normale Anwender) sind damit nicht nachvollziehbar.
Vielleicht sollte man das IT-Experten in Indien übergeben?
Danke für deinen Kommentar. Die angesprochene Webseite dient eher der Beurteilung der IT-Security Maßnahmen und nicht der DSGVO Konformität als solche. “Fachleute” in Indien werden keinerlei Bezug zur DSGVO haben. Was du benötigst, ist ein Verständnis für die Kernprinzipien der DSGVO und dieses im täglichen Arbeiten mit deiner Webseite zu leben.
Im Zweifel wird man dich immer angreifen können, weil jede Webseite irgendwo Daten sammelt und eine Formulierung in der Datenschutzerklärung nicht perfekt ist. Wichtig ist: gut argumentieren zu können und sich nicht selbst zu viele Fallstricke zu stellen.