WordPress für die DSGVO fit machen

Die Datenschutz-Grundverordnung (DSGVO, Wikipedia-Artikel) ist beschlossene Sache und ab dem 25.05.2018 anzuwenden. Ganz grob gesagt bedeutet dies für (fast) alle, dass mit gespeicherten Daten mit Personenbezug ab diesem Datum sensibler umzugehen ist. Und insbesondere bedeutet dies, dass relativ viele Auflagen diesbezüglich erfüllt werden müssen. Um hiervon betroffen zu sein, muss man nicht gleich eine große Firma sein. Es reicht bereits, eine eigene Webseite zu betreiben. Denn technisch bedingt fallen bei jedem Aufruf personenbezogene Daten an, um die es (unter anderem) in der DSGVO geht.

Lange Rede, kurzer Sinn: Nahezu jeder Webseitenbetreiber in Europa muss ab dem 25.05.2018 die Vorgaben der DSGVO erfüllen, wenn er nicht Gefahr laufen will abgemahnt zu werden. Sofern du eine Webseite betreibst, bist du also ziemlich sicher auch hiervon betroffen und musst handeln. Wenn du darüber hinaus auch noch WordPress benutzt, musst du erst Recht aktiv werden. Denn die vielen Funktionen und Features von WordPress bedeuten leider besonders viele Achtungspunkte, die es im Rahmen der DSGVO einzuhalten gilt. Und ziemlich sicher musst auch du aktiv werden und WordPress-Funktionen anpassen.

DSGVO-Checkliste für WordPress

Ich betreibe selbst diverse WordPress-Installationen mit unterschiedlichen Themes und eingesetzten Plugins. Bevor ich angefangen habe meine Installationen für die DSGVO vorzubereiten, habe ich versucht alle denkbaren Achtungspunkte zu identifizieren, um diese dann Stück für Stück zu erledigen. Achtungspunkte, die auf meine WordPress-Installationen nicht zutreffen, habe ich jedoch nicht in meine eigene Checkliste aufgenommen. Alleine schon aus diesem Grund ist meine Checkliste definitiv nicht vollständig und selbst bei penibelster Einhaltung keine Garantie für eine DSGVO-konforme Webseite.

Meine DSGVO-Checkliste ist keine Garantie für eine DSGVO-konforme Webseite. Darüber hinaus stellt sie auch keine Rechtsberatung oder ähnliches dar. Grundsätzlich enthält diese persönliche Checkliste die von mir umgesetzten Punkte explizite ohne Anspruch auf Vollständigkeit!

DSGVO-Checkliste für WordPressEin Punkt, der zum Beispiel in meiner Checkliste nicht enthalten ist, wäre folgender: Wer versucht den Admin-Bereich (/wp-admin/) seiner WordPress-Installation durch Plugins wie WP Limit Login Attempts abzusichern, hat über meine Checkliste hinausgehende Achtungspunkte! Damit solche Plugins funktionieren können, wird bei jedem Login-Versuch die IP-Adresse des potentiellen Angreifers gespeichert. Die IP-Adresse gilt im Rahmen der DSGVO bereits als „persönliche Daten“, so dass der Einsatz eines solchen Plugins nicht ohne Weiteres möglich ist. Da ich solche Plugins nicht einsetze, habe ich hier für die DSGVO keinen Achtungspunkt, dies kann bei deiner WordPress-Installation jedoch schon ganz anders sein!

Gerade an diesem Beispiel kann man leicht erkennen, wie Sinn befreit Verordnungen sein können. Ein präventiv für offensichtlich illegale Handlungen Dritter eingesetztes Tool kann einem mi Rahmen der DSGVO zum Nachteil werden. Dabei wollte man nur seinen eigenen Admin-Bereich vor illegalen Zugriffen schützen

WordPress für die DSGVO fit machen

Aber kommen wir nun endlich zu den meiner Meinung nach wichtigen (aber definitiv nicht allgemeingültig vollständigen) Achtungspunkten:

  1. Dein WordPress muss über SSL (exklusiv) erreichbar sein!
  2. Du musst deine Datenschutz-Erklärung an die Anforderungen der DSGVO anpassen!
  3. Setze sowohl dein Impressum als auch deine Datenschutz-Erklärung auf „noindex“.
  4. Deaktiviere die Gravatare in Kommentaren, da diese von externen Servern geladen werden, wofür personenbezogene Daten deiner Besucher übermittelt werden.
  5. Der Hinweis auf deine Datenschutz-Erklärung muss gut auffindbar sein. Platziere Ihn zum Beispiel in deinem Cookie-Hinweis, der bestätigt werden muss.
  6. Prüfe die Einstellungen deines Anti-Spam-Plugins, dass dieses nicht auf externe Datenbanken zugreifen darf. Auch hierbei werden ggf. Benutzerdaten übermittelt. Selbst das ansonsten sehr datensparsame Plugin Antispam Bee hat eine solche Funktion an Bord!
  7. Schließe einen Vertrag zur Auftragsverarbeitung mit deinem Webhoster ab.
  8. Deaktiviere die Besucherstatistiken, die dein Webhoster anbietet und in der Regel aktiviert hat. Oder hast du hier jemals einen Blick reingeworfen?
  9. Unterbinde den Aufruf externe Scripte um die ungewollte Datenweitergabe zu verhindern. Selbst das Abrufen eines Fonts von den Google-Servern wird als kritisch gesehen.
  10. Nutze nur datenschutz-freundliche Share-Buttons! Das Plugin Shariff könnte etwas für dich sein!
  11. Wenn du die Kommentare-Funktion in deiner WordPress-Installation aktiviert lässt, sollten deiner Besucher mit einer Checkbox manuell bestätigen müssen, dass Sie der Datenspeicherung etc. zustimmen.
  12. Deaktiviere die Kommentarfunktion (dann benötigst du 4., 6. und 11. nicht :))
  13. Deaktiviere die User-Registrierung! Wer außer dir benötigt in deinem Blog ohnehin einen Account?
  14. Deaktiviere die WordPress-Emojis!
  15. Deaktiviere die sogenannten WordPress-Embeds.
  16. Lösche alte Kommentare, die mit IPs gespeichert wurden oder anonymisiere diese Kommentare entsprechend.
  17. Lösche deine Facebook-Seite!
  18. Lösche alle alten Daten bei Google Analytics!

Diese Liste ist nicht vollständig!

Sie gibt aber definitiv eine gute Richtung vor, in die du gehen solltest, damit auch dein WordPress der DSGVO entspricht. Ggf. gehst du nicht ganz so weit wie ich, und löschst gleich alle alten Kommentare und deine Facebook-Seiten. Ich mag es jedoch sehr minimalistisch und habe mich in diesem Zusammenhang grundsätzlich gefragt, welchen Vorteil mir die jeweiligen Angebote/Funktionen bieten. Die Facebook-Seiten habe ich ohnehin nicht aktiv betrieben und bei den Kommentaren waren 90% nur Spam (somit konnte ich auch gleich das Antispam-Plugin löschen).

Noch einmal der Hinweis, dass diese Liste auf gar keinen Fall vollständig ist und von dir weitere Schritte notwendig sind!