So machst du deine WordPress Webseite fit für die DSGVO // Teil 1 – Unsere 10 WordPress Tipps

Die seit dem 25. Mai 2018 vollständig in Kraft getretene Datenschutz-Grundverordnung ( DSGVO ) gilt nicht nur für Webseiten oder Online-Shops von Unternehmen, sondern in vielen Fällen auch für Vereine und Blogseiten. Ohne eine Verarbeitung von personenbezogenen Daten ( Informationen jeglicher Art, die sich auf eine theoretisch identifizierbare natürliche Person beziehen ) lässt sich heute wohl keine Webseite betreiben.

Aufgrund dieser Situation haben wir in diesem Beitrag 10 wichtige Punkte für Betreiber von WordPress Webseiten zusammengefasst.

Disclaimer: Die Informationen in diesem Beitrag haben wir mit größter Sorgfalt recherchiert. Dennoch können wir keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen übernehmen. Diese sind insbesondere allgemeiner Art und stellen keine Rechtsberatung dar. Die hier aufgeführten Tipps stellen lediglich Handlungsempfehlungen dar, die wir aufgrund von Erfahrungen, Fachartikeln und Weiterbildungen auf unseren Webseiten umsetzen. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.

1. Aktualität System, Theme und Plugins

Wir empfehlen Ihnen stets dafür Sorge zu tragen, dass sich sowohl Ihr WordPress System, Ihr Theme und alle Plugins auf einem aktuellen Stand befinden. Diese regelmäßigen Aktualisierungen verhindern, dass Sicherheitslücken von veralteten Versionen von Hackern ausgenutzt werden. Löschen Sie zusätzlich Altlasten wie z.B. nicht benötigte oder inaktive Themes und Plugins.

2. Aktualität Servertechnik

Die Aktualität der eingesetzten Servertechnik (MySQL, Linux, Apache,PHP) spielt ebenso eine große Rolle und sollte auf jeden Fall im Blick behalten werden. Die dazugehörigen Informationen müssen beim jeweiligen Provider erfragt werden. Vorzugsweise sollte ein Anbieter mit Serverstandort in Deutschland gewählt werden.

3. Regelmäßige Backups

Datensicherungen ( Backups ) sollten auf keinen Fall vernachlässigt werden und in regelmäßigen Abständen durchgeführt werden.

Pluginempfehlung: Updraftplus

4. Nutze ein SSL-Zertifikat

Ab dem 25. Mai 2018 muss jede Webseite, die persönliche Daten von Nutzern abfragt, über eine sichere SSL-Verbindung verfügen. Bietet eine Webseite oder Online-Shop den Nutzern die Möglichkeit, personenbezogene Daten in Webformulare einzutragen, sollte ein HTTPS-Protokoll eingebunden werden.

Damit werden sämtliche Daten, die zwischen dem Server der Webeite und dem Browser des Besuchers ausgetauscht werden, entsprechend verschlüsselt. Ohne die Verschlüsselung der persönlichen Daten von Kunden, besteht nicht nur eine erhebliche Sicherheitslücke im Missbrauch von Daten, sondern auch im Verlust des Vertrauens der Nutzer.

Weiterer Vorteil: Zusätzliche Google Rankingverbesserung

5. Prüfe alle WordPress Plugins

Prüfe alle installierten Plugins daraufhin, ob diese personenbezogene Daten erheben und speichern. Füge diese Erweiterungen unbedingt den Datenschutzbestimmungen hinzu. Vermeide Plugins von Drittanbietern, die personenbezogene Daten (in der Regel IP-Adressen) auf Servern außerhalb der Europäischen Union weiterleiten.

6. WordPress Emoji-Funktion deaktivieren

Seit der WordPress Version 4.2 wird eine Funktion standardmäßig bereitgestellt, die im Grunde dafür sorgt, dass Emojis von zwei externen Servern in den Head-Bereich einer jeden WordPress Website geladen werden. Das bedeutet im Umkehrschluss, dass die IP-Adressen derjenigen, die eine Website mit dieser Funktion besuchen, auf externen Servern landen.  Deshalb sollte die Verbindung zu s.w.org und twemoji.maxcdn.com unbedingt gekappt werden. Dies geht am einfachsten über ein entsprechendes Code-Snippet in der functíons.php oder mit dem Plugin „Disable Emojis“.

Code-Snippet:

function remove_emoji()
	{
	remove_action('wp_head', 'print_emoji_detection_script', 7);
	remove_action('admin_print_scripts', 'print_emoji_detection_script');
	remove_action('admin_print_styles', 'print_emoji_styles');
	remove_action('wp_print_styles', 'print_emoji_styles');
	remove_filter('the_content_feed', 'wp_staticize_emoji');
	remove_filter('comment_text_rss', 'wp_staticize_emoji');
	remove_filter('wp_mail', 'wp_staticize_emoji_for_email');
	add_filter('tiny_mce_plugins', 'remove_tinymce_emoji');
	}
add_action('init', 'remove_emoji');
function remove_tinymce_emoji($plugins)
	{
	if (!is_array($plugins))
		{
		return array();
		}
	return array_diff($plugins, array(
		'wpemoji'
	));
	}

7. WordPress Gravatar-Funktion deaktivieren

1
1

Hier das Häckchen entfernen um die Verbindung zu kappen

Standardmäßig werden in WordPress sämtliche Kommentatoren mit der Gravatar-Database abgeglichen. Dabei werden personenbezogene Daten übertragen. Dies kann mit der Entfernung des Häckchens über Einstellungen –> Diskussion –> Zeige Avatare abgeschaltet werden.

8. WordPress Kommentar-Funktion

Um die WordPress Kommentarfunktion auf normalem Wege zu deaktivieren, gibt es im Dashboard unter dem Menüpunkt Einstellungen -> Diskussion die Möglichkeit das Häkchen bei Besuchern erlauben, neue Beiträge zu kommentieren zu entfernen. Wer die Kommentarfunktion auf seiner gesamten WordPressseite deaktivieren möchte, kann zudem auf das Plugin „Disable Comments“ zurückgreifen.

Vorsicht bei der Verwendung der Kommentarfunktionen von WordPress. Nicht nur die E-Mail-Adressen von Kommentatoren werden gespeichert, sondern ebenfalls deren IP-Adressen. Dies kann wiederum über einen entsprechenden Code-Schnipsel in der functions.php verhindert werden oder man verwendet alternativ das Plugin „RemoveIP“ ( Leider bisher länger nicht geupdatet ). 

Bereits bestehende Kommentare mit gespeicherter IP-Adresse können auf Datenbankebene bereinigt werden.

Code-Schnipsel functions.php

function  wpb_remove_commentsip( $comment_author_ip ) {
	return '';
	}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

9. Kontaktformulare anpassen

Wird auf der Webseite ein Kontaktformular angeboten, muss sich um die Einrichtung einer SSL-Verschlüsselung gekümmert werden ( siehe Punkt 4).  Erwägen sollte man außerdem die Integration einer Checkbox, über die die Nutzer des Formulars der Datenverarbeitung zustimmen müssen inkl. einer Verlinkung zur Datenschutzerklärung.

Kommentar: Im Bezug zur Checkbox scheiden sich derzeit immer noch die Geister. Manche Anwälte empfehlen eine solche Integration, andere nicht.

10. Datenschutzerklärung anpassen

Website-Betreiber müssen auf Basis der DSGVO die Besucher ihrer Webseite wesentlich ausführlicher über ihre Rechte aufklären als bisher. Grundsätzlich sollte man beachten, dass die Erläuterungen zum Datenschutz und das Impressum jederzeit einsehbar sein müssen. Die Verlinkungen zur Datenschutzerklärung und zum Impressum müssen zudem von jeder Unterseite aus erreichbar sein. Dies gilt sowohl für die Desktop-Variante Ihrer Webseite, als auch die Mobile-Variante. Bewährt hat sich aufgrund dieser Vorgabe die Platzierung der Links im Footerbereich einer Website.

Vorsicht beim Einsatz von Cookie-Bannern oder Chattools: Diese sollten die Links zum Impressum und der Datenschutzerklärung nicht verdecken ( auch Mobil prüfen! ).

1
2
3
1

Unter Einstellungen – Datenschutz finden Sie die Datenschutzeinstellungen.

2

Hier kann eine bestehende Datenschutzerklärung festgelegt werden.

3

Hier kann eine neue Datenschutzseite angelegt werden.

Unter Einstellungen -> Datenschutz finden Benutzer nicht nur einen kurzen Leitfaden zur Erstellung einer Datenschutzerklärung, es gibt zudem die Möglichkeit eine zuvor erstellte Datenschutzseite zu hinterlegen oder eine neue anzulegen. Dazu noch ein Hinweis: Bitte nicht den Standardtext, der hier erzeugt wird einfach übernehmen.

Die Zuweisung einer Seite erzeugt automatisch einen Link zu den Datenschutzhinweisen auf den Standard Login- und Registrierungs-Seiten.

Informieren Sie Ihre Nutzer im Datenschutzbereich stets, wann, wie und unter welchen Voraussetzungen Daten von Benutzern verarbeitet werden. Dies gilt insbesondere für eingesetzte Plugins ( siehe Punkt 5 ).