DSGVO und WordPress: 9 Datenschutzlücken, an die du (vielleicht) noch nicht gedacht hast


In diesem Beitrag zeige ich dir 10 Datenschutzlücken, die du unbedingt beheben und/oder mit in deine Datenschutzerklärung aufnehmen solltest. Auch, wenn die DSGVO nervig und anstrengend ist, so sorgt sie für eins: Wir setzen uns mit unserem WordPress und was dort im Hintergrund so passiert, genauer auseinander. In diesem Beitrag gebe ich dir weitere Anregungen, wie du dein WordPress noch DSGVO-konformer machen kannst und auch die Angriffsfläche für Abmahnanwälte reduzierst.

Diese Liste erhebt keinen Anspruch auf Vollständigkeit. Sie hilft dir, deine Webseite DSGVO-konformer zu gestalten.

Ich bin kein Anwalt und gebe hier auch keine Rechtsberatung. Diese Empfehlungen halte ich für sinnvoll, da sie dir helfen Schwachpunkte auszumerzen. Du kannst den Empfehlungen folgen, musst es aber nicht.

1. DSGVO und WordPress: Aufzeichnung der IP-Adressen von Kommentaren abschalten

Wußtest du, dass dein WordPress bei jedem Kommentar die IP des Kommentators speichert?
Das ist ein Automatismus, den du einfach abschalten kannst. Nutze dafür dieses Plugin oder füge folgenden Code in die functions.php deines WP-Themes ein:

function wpb_remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

So sieht der Code bei mir aus:

Wenn du das Aufzeichnen der Kommentare ausgeschaltet hast, vergiss nicht alte aufgezeichnete IPs von Kommentaren zu löschen. Dafür hilft dir unter anderem dieses Plugin: Remove Comment IPs

2. DSGVO und WordPress: Login-Seite nicht vergessen

Hast du auf der öffentlich-zugänglichen Seite /wp-admin bzw. wp-login.php dein Impressum und deine Datenschutzerklärung verlinkt?

Diese Seite ist öffentlich zugänglich und auch hier solltest du dein Impressum und deine Datenschutzerklärung verlinken. Du solltest auch hier die Datenschutzerklärung verlinken, da dein Hostinganbieter vermutlich auch hier die Logfiles anlegt oder dein WP aufzeichnet, wer sich wann erfolgreich/nicht erfolgreich einloggt.

Um die Verlinkung einzurichten, öffnet du die wp-login.php im Root-Ordner deines WordPress‘ und fügst an der Stelle des login_footer die Verlinkungen zum Impressum und zur Datenschutzerklärung ein. Ich habe auch den Haftungsausschluss bei mir verlinkt:

ACHTUNG! Mit dieser Empfehlung überarbeitest du den WordPress-Core. Mit dem kommenden WordPress-Update (4.9.6) wird diese Funktion hinzugefügt, so dass du diese nicht manuell einfügen musst.

Das klappt super und sieht wunderbar aus:

3. DSGVO und WordPress: Kommentarfelder und Kontaktformulare DSGVO-konform nutzen

Deine Kommentarboxen und Kontaktformulare sollten im besten Fall auch eine Checkbox mit Hinweis auf die Datenverarbeitung haben. Dafür verwendest du einfach das „WP GDPR Compliance“ Plugin.

Die Verlinkung auf die Datenschutzerklärung ist auch ganz hilfreich. Aufjeden Fall wird jeder der auf BedeutungOnline kommentiert daraufhingewiesen.

4. DSGVO und WordPress: Google Webfonts DSGVO-konform nutzen

Prüfe dein WordPress, ob du Google Fonts verwendest – also extern auf deine Webseite hereinlädst. Falls ja, so solltest du diese lokal hosten und die Google Fonts Referenz unterdrücken.
Auf folgende Weise trennst du dich vom Google Fonts-Dienst:

  1. Identifiziere die verwendeten Webfonts. Unter anderem findest du in der functions.php alle Fonts und ihre Formate aufgelistet, die auf deiner Webseite von Google Fonts hereingeladen werden. Notiere dir diese.
  2. Wähle die betroffenen Schriftarten beim „Google Webfonts Helper“ aus und lade sie herunter.
  3. Lade die Schriftarten auf deinen Server hoch und verlinke die CSS-Verlinkungen in deiner style.css oder im Customizer, falls dein WordPress so etwas hat – im Child-Theme geht natürlich auch.
  4. Als letztes musst du die Google Fonts Referenz unterdrücken. Dafür verwendest du dieses (schon ältere, aber funktionierende) Plugin: Remove Google Fonts References

5. DSGVO und WordPress: Google-Analytics-Opt-Out-Button für Smartphone- und Tablet-User

Falls du Google Analytics verwendest, so brauchst du einen drückbaren Opt-Out-Button (für Smartphone- und Tablet-User). Sollte der Code dir Probleme bereiten, so verwendest du folgendes Plugin: Google Analytics Opt-Out

Bei mir sieht dieses wie folgt aus:

Alternativ zum Browser-Add-On, insbesondere bei Browsern auf mobilen Endgeräten, können Sie die Erfassung durch Google Analytics zudem verhindern, indem Sie [ google_analytics_optout ]auf diesen Link klicken[ /google_analytics_optout ].

In eckligen Klammern ist der verwendete Shortcode, den das Plugin zur Verfügung stellt. (Füge ihn ohne Leerzeichen zwischen der eckigen Klammer und dem Inhalt der eckigen Klammern ein. Ich habe dies hier gemacht, damit der Shortcode dir angezeigt wird.

6. DSGVO und WordPress: Gravatar abschalten

Hast du den Gravatar-Dienst schon abgeschaltet? Auch dieser Dienst ist problematisch für die DSGVO, denn der Dienst lädt die Bildchen von außen auf deine Webseite ein. Stell ihn einfach aus: Klick auf Einstellungen > Diskussion > Avatare –  Hier entfernst du den Haken bei „Avatare anzeigen“ und klickst auf speichern.

Das sieht dann so aus:

7. DSGVO und WordPress-Smileys

Hast du die Smileys schon deaktiviert? Auch die Smileys werden von außen in deine Webseite reingeladen. Dies kannst du einfach deaktivieren. WordPress verwendet dann – wenn vorhanden – eigene lokal gehostete Smileys. Verwende dafür dieses Plugin: Disable Emojis

Du kannst auch folgenden Code in deine functions.php schreiben:

/**
* Disable the emoji's
*/
function disable_emojis() {
remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
remove_action( 'admin_print_scripts', 'print_emoji_detection_script' );
remove_action( 'wp_print_styles', 'print_emoji_styles' );
remove_action( 'admin_print_styles', 'print_emoji_styles' );
remove_filter( 'the_content_feed', 'wp_staticize_emoji' );
remove_filter( 'comment_text_rss', 'wp_staticize_emoji' );
remove_filter( 'wp_mail', 'wp_staticize_emoji_for_email' );
add_filter( 'tiny_mce_plugins', 'disable_emojis_tinymce' );
add_filter( 'wp_resource_hints', 'disable_emojis_remove_dns_prefetch', 10, 2 );
}
add_action( 'init', 'disable_emojis' );

/**
* Filter function used to remove the tinymce emoji plugin.
*
* @param array $plugins
* @return array Difference betwen the two arrays
*/
function disable_emojis_tinymce( $plugins ) {
if ( is_array( $plugins ) ) {
return array_diff( $plugins, array( ‚wpemoji‘ ) );
} else {
return array();
}
}

/**
* Remove emoji CDN hostname from DNS prefetching hints.
*
* @param array $urls URLs to print for resource hints.
* @param string $relation_type The relation type the URLs are printed for.
* @return array Difference betwen the two arrays.
*/
function disable_emojis_remove_dns_prefetch( $urls, $relation_type ) {
if ( ‚dns-prefetch‘ == $relation_type ) {
/** This filter is documented in wp-includes/formatting.php */
$emoji_svg_url = apply_filters( ‚emoji_svg_url‘, ‚https://s.w.org/images/core/emoji/2/svg/‘ );

$urls = array_diff( $urls, array( $emoji_svg_url ) );
}

return $urls;
}

Das sieht dann so aus. Ich zeige nur den oberen Teil, da der ganze Code sehr umfangreich ist.

8. DSGVO und WordPress: eingebundene YouTube-Videos

Bindest du YouTube-Videos DSGVO-gerecht ein? Das geht relativ einfach.

  1. Klicke wie gewohnt bei einem YouTube-Video auf „Teilen“, dann auf „Einbetten“.
  2. Nun hast du bei YouTube eine vierte Option:
  3. Wähle „Erweiterten Datenschutz aktivieren“ aus.
  4. Das führt dazu, dass das YouTube-Video wie folgt in deine Seite eingebettet wird:

    Steht dort „www.youtube-nocookie.com“ warst du erfolgreich.

Jetzt die schlechte Nachricht: Du musst das für alle bisher eingebundenen Videos nacharbeiten.

9. DSGVO und WordPress-Plugins: Trenne dich von Datenkraken

Wußtest du das Akismet die IP eines Kommentators zum Abgleich in die USA schickt? Die DSGVO findet das nicht gut, also solltest du Akismet deaktivieren.

Prüfe auch andere Plugins. Eine Übersicht über das Datenschutz- und DSGVO-Bewertung von Plugin findest du hier.


Auf die Listung von bekannten Dingen – wie dem ADV mit dem Hoster oder mit Google Analytics, das Cookie-Banner, Logfiles beim Hostinganbieter anonymisieren und die überarbeite Datenschutzerklärung – habe ich verzichtet. In diesem Beitrag geht es, um einige WordPress-Besonderheiten.

Autor: Pierre von BedeutungOnline

Hallo, ich bin Autor und Macher von BedeutungOnline. Bei BedeutungOnline dreht sich alles um Worte und Sprache. Denn wie wir sprechen und worüber wir sprechen, formt wie wir die Welt sehen und was uns wichtig ist. Das darzustellen, begeistert mich und deswegen schreibe ich für dich Beiträge über ausgewählte Worte, die in der deutschen Sprache gesprochen werden. Seit 2004 arbeite ich als Journalist. Ich habe Psychologie und Philosophie mit Schwerpunkt Sprache und Bedeutung studiert. Ich arbeite fast täglich an BedeutungOnline und erstelle laufend für dich neue Beiträge. Mehr über BedeutungOnline.de und mich erfährst du hier.

3 Gedanken zu „DSGVO und WordPress: 9 Datenschutzlücken, an die du (vielleicht) noch nicht gedacht hast“

  1. Hallo Pierre,
    Danke für die ausführliche Anleitung. Da hat man aber jede Menge zu tun.
    Wahnsinn auf was Alles zu achten ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert