So stellst Du den Datenschutz in WordPress sicher

So stellst Du den Datenschutz in WordPress sicher

WordPress birgt einige versteckte Datenschutz-Probleme, die so mancher Blogger übersieht. Zum Glück kannst Du diese DSGVO-Fallen selbst aufspüren und beheben.

Nachdem die erste Welle der Aufregung um die DSGVO abgeebbt ist, übersieht man leicht, dass dieses Thema weiterhin wichtig ist. Juristisch wird immer deutlicher, was erlaubt ist und was nicht. Und es gibt erste Abmahnungen. Daher lohnt sich ein zweiter Blick auf WordPress, um verbliebene Details in Ordnung zu bringen und versteckte Fallen zu vermeiden.

Die bekannten DSGVO-Probleme in WordPress hat inzwischen mutmaßlich jeder Blogger unter Kontrolle: Daten von Newsletter-Abonnenten, Social-Media-Buttons, Einbindung von Youtube-Videos, Google Fonts, Google Maps und datenhungrige Plugins. Aber wie steht es mit den vielen, kleinen Fallen, die sich in WordPress, Themes und Plugins verstecken?

Wichtiger Hinweis: Dieser Workshop ist keine Rechtsberatung. Wir weisen auf mögliche Probleme hin und geben technische Tipps zur Vermeidung. Juristisch beurteilen wir die beschriebenen Aspekte damit ausdrücklich nicht.

Mögliche Datenschutz-Probleme aufspüren

Ob Daten an Dritte übertragen werden, kannst Du recht einfach prüfen. Es gilt herauszufinden, ob Dein WordPress-Blog über den Browser der User Daten von fremden Servern lädt, also beispielsweise Bilder, Audio, Video, Fonts, Icons, Javascript oder Anzeigenbanner. Denn dabei wird unweigerlich zumindest auch die IP-Adresse des Users übermittelt, möglicherweise sogar weitere persönliche Daten wie Cookies oder Browserprofile.

Der Pingdom Website Speed Test ist, wie der Name schon sagt, eigentlich zum Testen der Website-Geschwindigkeit gedacht. Du kannst das kostenlose Online-Tool aber auch nutzen, um Datenübertragungen an fremde Server aufzuspüren.

BU: WebsiteSpeedTest Pingdom zum Aufspüren von Datenschutz-Problemen

Dazu testest Du mit dem Tool eine typische Seite Deines Blogs und suchst dann in den Ergebnissen den Punkt File requests.  Dort listet Pingdom alle Elemente der Webseite auf, die über den Browser geladen wurden. Die meisten URLs, die hier auftauchen, beinhalten also Deine eigene Domain. Was Du suchst, sind fremde URLs in der Liste.

Fremde URLs mit Pingdom aufspüren

Im Beispiel tauchen hier neben der eigenen Domain (bloggertricks.de) die Server 0.gravatar.com, fonts.gstatic.com und fonts.googleapis.com auf.

Die gefundenen URLs zu Plugins oder Themes zuordnen

Etwas schwieriger kann es sich gestalten, die entdeckten URLs dem Theme beziehungsweise einem bestimmten Plugin als Verursacher zuzuordnen. Da ist Spürsinn gefragt.

Im Beispiel ist es relativ einfach: Bei fonts.gstatic.com und fonts.googleapis.com ist klar, dass Du irgendwo Google Fonts eingebunden hast.Die URL offenbart hier auch, dass es sich um die Schriftart „Merriweather“ handelt. Mit hoher Wahrscheinlichkeit benutzt das Theme diese Schrift.

Auch gravatar.com lässt sich einfach zuordnen: Von dort lädt WordPress die Foto-Thumbnails der User, die bei Beiträgen einen Kommentar hinterlassen haben – sofern diese Option in WordPress unter Einstellungen – Diskussion – Avatare aktiviert ist. Entsprechend einfach kannst Du dieses Problem auch lösen, indem Du die Funktion dort deaktivierst.

Findest Du Datenübertragungen zu fremden Servern, musst Du das nicht zwangsläufig verhindern. Es bedeutet aber, dass Du Dich datenschutzrechtlich damit auseinandersetzen musst – also je nach Situation die Übertragung verhindern, geeignete Passagen in Deine Datenschutzerklärung einfügen oder explizit die Zustimmung der User einholen solltest.

Tests wiederholen

Den Test solltest Du nun auf weiteren Seiten wiederholen. Denn Plugins sind möglicherweise nicht auf jeder Seite aktiv, Widgets werden vielleicht nur auf bestimmten Seiten angezeigt, Pages und Posts haben unterschiedliche Design-Elemente und die Homepage ist ohnehin meist noch einmal ganz anders aufgebaut. Ein FAQ-Plugin beispielsweise wird nur auf einer FAQ-Seite relevant sein, ein Kontaktformular möglicherweise nur auf der Kontakt-Seite Deines Blog.

Tipp: Denke auch daran, die Checks neu durchzuführen, wenn Du an Deiner WordPress-Installation etwas veränderst. Das ist vor allem nach der Installation eines neuen Plugins ratsam. Sicherheitshalber solltest Du die Tests auch in regelmäßigen Abständen komplett neu durchführen. Denn Du kannst Dir nie ganz sicher sein, dass eine neue WordPress-, Plugin- oder Theme-Version nicht auch unbemerkt neue Probleme mit sich bringt.

Versteckte DSGVO-Probleme von WordPress beheben

Erstaunlicherweise macht auch WordPress selbst an ein paar Stellen Datenschutz-Probleme, auf die Du achten solltest – auch wenn WordPress vorgibt, DSGVO-konform zu sein.

Emoticons:  Seit Version 4.2 sind die Emojis fester Bestandteil von WordPress. Die kleinen Icons werden aber von einem externen Server mit der Domain s.w.org geladen. Unterbinden kannst Du das mit dem Plugin Disable Emojis. Das in seinen Funktionen sehr umfassende Plugin Webcraftic Clearfy enthält ebenfalls eine entsprechende Option.

Mit Disable Emojis blockierst Du die Emoticons in WordPress.

Gravatar-Bilder:. Auch die Thumbnail-Bilder in User-Kommentaren werden von einem externen Server geladen. Die Gravatar-Avatarbilder deaktivierst Du in WordPress über Einstellungen – Diskussion – Avatare.

Ohne Häkchen bei „Avatare anzeigen“ lädt WordPress keine Thumbnails vom externen Server.

SSL-Verschlüsselung: Persönlichen Daten von Usern sollten immer verschlüsselt übertragen werden. Da bereits ein einfaches Kontaktformular beispielsweise den Namen und die E-Mail-Adresse der User übermittelt, sollte Dein WordPress-Blog immer über SSL-Verschlüsselung verfügen. Aus SEO-Sicht ist SSL ohnehin empfehlenswert, weil Google die sichere Datenübertragung als positiven Ranking-Faktor wertet. Wie Du Dein Blog auf SSL umstellst, erfährst Du in den Beiträgen Wie Du Deine Website auf SSL umstellst und So geht’s: WordPress auf SSL umstellen.

Aktuellste WordPress-Version: Schon aus Sicherheitsgründen solltest Du immer die aktuellste WordPress-Version verwenden. Auch unter DSGVO-Aspekten ist das sinnvoll, denn die WordPress-Entwickler verbessern die Software in dieser Hinsicht ständig. Beispielsweise ist erst in neueren Versionen der Link zur Datenschutzerklärung auch auf der Login-Seite des Blogs integriert.

Kommentar-Funktion: In der Kommentar-Funktion von WordPress verbergen sich mehrere Aspekte, die für den Datenschutz relevant sind. Welche Aspekte das sind und wie Du technisch damit umgehen kannst, zeigt der zweite Teil des Workshops: „Datenschutz und die Kommentar-Funktion von WordPress“.

Übrigens: Bis zum 31.8.2019 gibt es bei STRATO zu jedem WordPress-Paket eine .blog Domain gratis dazu.

Zu den WordPress-Paketen
Schlagworte: , , ,

Teilen

  1. Thomas Hoffmann sagte am

    Danke für den Beitrag. Ich frage mich nur, welche Anwender das alles berücksichtigen können. WP und Strato habe ich gewählt, weil ich mich nicht mit soviel „Technik“ befassen möchte. Das erscheint mir alles sehr kompliziert. Die Datenschützer sind nicht ganz dicht! Gibt es nicht einfachere Möglichkeiten? Gegen Bezahlung?

    Antworten

Sie können erst kommentieren, wenn Sie unseren Datenschutzbestimmungen und den Cookies zugestimmt haben. Aus Datenschutzrechtlichen Gründen dürfen wir andernfalls keine personenbezogenen Daten von Ihnen aufzeichnen.

Klicken Sie dazu einfach unten im Browser Fenster auf den blauen Button Akzeptieren. Nach dem Neuladen der Seite können Sie Ihr Kommentar schreiben.

 

Diese Webseite verwendet Cookies, um die Nutzung der Seite zu verbessern, den Erfolg von Werbemaßnahmen zu messen und interessengerechte Werbung anzuzeigen. Durch die Nutzung dieser Seite erklären Sie sich damit einverstanden. Informationen