Seit dem 25. Mai 2018 ist die EU-DSGVO aktiv. Sie legt EU-weit einheitliche Regelungen in der Abfertigung mit personenbezogenen Daten fest und soll innerhalb der EU den Datenschutz sichern und auch den freien Datenaustausch erleichtern – so zumindest in der Theorie.
WordPress und die DSGVO
WordPress ist schon lange kein reines CMS für Blogs mehr. Es wird mittlerweile für zahlreiche Contentseiten genutzt. Demzufolge groß ist die Anzahl der erhältlichen Themes und Plugins. Um bewerten zu können, ob ein Risiko bzgl. DSGVO vorliegt, müssen die User übrigens zwischen dem CMS WordPress und den Plugins unterscheiden.
In der Regel sind zwei Punkte potenziell gefährlich: das Speichern personenbezogener Daten und die Weiterleitung personenbezogener Daten an Dritte. Das zweite passiert zum Beispiel, wenn der User Google Analytics verwendet oder Videos via YouTube auf die Seite einbettet.
WordPress und die DSGVO – neue Einstellungen
Erst wenige Wochen vor dem 25. Mai begann das WordPress-Entwicklerteam, DSGVO-Werkzeuge in das System zu integrieren. Das Meiste der neuen Features ist aber in der am Anfang August aktualisierten Version 4.9.8 bereits enthalten. Man findet im aktuellen WordPress zwei Tools zum Löschen und Exportieren persönlicher Daten (unter Werkzeuge) und ein neues Untermenü mit der Bezeichnung Datenschutz unter Einstellungen.
Hier wählt der User die Seite mit den Informationen zur Datenschutzerklärung aus. Eine Empfehlung mit Textvorschlägen hilft auch Anfänger bei der Einrichtung einer DSGVO-konformen Erklärung. Die Entwickler von WordPress-Plugins können über einen neuen Privacy-Layer wahlweise eigene Datenschutzbeschreibungen ihrer Seite hinzufügen.
WordPress und die DSGVO – Nutzerkommentare
Eine Checkbox für die Kommentarfunktion ist zudem neu in WordPress. Die Checkbox fragt ab, ob die Daten des Users bis zum nächsten Kommentar gespeichert werden sollen.
Da sich das CMS in den Standardeinstellungen neben den gespeicherten Kommentardaten auch Zeit und IP-Adresse merkt, ist auch hier Handlungsbedarf nötig. Als persönliches Daten darf die IP nur dann gespeichert werden, wenn es erforderlich ist.
In der Praxis sieht die Sache ganz anders aus: Besonders bewusste empfehlen, dass das Speichern der IP-Adressen generell abzuschalten ist. Das geschieht mit Hilfe eines Plugins oder über die Anpassung der functions.php. Demgegenüber kann die IP-Adresse bei einem etwaigen Rechtsverstoß wesentliche Anhaltspunkte für eine Strafverfolgung bieten.
Die Zwischenlösung besteht darin, die Adressen zwar erstmalig zu speichern, jedoch nach Ende eines festgelegten Zeitraums automatisch aus der Datenbank zu löschen. Durchführbar ist das mit einem cronjobgesteuerten MySQL-Skript.
WordPress und die DSGVO – Google Analytics
User schätzen Googles kostenfreies Analyse-Tool. Man kann Google Analytics DSGVO-gerecht nutzen, aber man muss einige, wichtige Punkte beachten. Wirklich neu sind diese Punkte aber nicht. Sie waren bereits vor der DSGVO Pflicht.
WordPress und die DSGVO – Google Fonts
Ein Großteil der modernen WordPress Themes beziehen Googles frei verwendbare Webfonts und Maps mit ein. Beim Abruf der entsprechenden Seiten wird die IP-Adresse an Google weitergeleitet. Möchte man Google Maps oder Fonts in seine Seiten einbinden, sollte unbedingt die Datenschutzerklärung bzgl. dieser Punkte aktualisiert werden.
WordPress und die DSGVO – Youtube, SlideShare, SoundCloud und Co.
Auch bei der Einbettung von Drittinhalten, also Filme/Videos, Audio-Dateien, Slide Share-Präsentationen oder sonstige Embeds, sollten User vorsichtig sein. Egal was von Drittservern geladen wird, birgt ein potentielles Risiko.
WordPress und die DSGVO – Cookie-Hinweis
Der allseits bekannte „Cookie-Hinweis“ wird oft mit den DSGVO-Maßnahmen gleichgesetzt. Aber es handelt sich dabei um eine ganz andere Baustelle. In Deutschland gilt immer noch § 15 Abs. 3 des Telemediengesetzes. Dieses sagt, den Nutzer umfangreich zu unterrichten und auf sein Widerspruchsrecht zu unterrichten. Diese beiden Sachen können durch einen Cookie-Hinweis erfolgen. Rechtlich erforderlich ist es aber aktuell noch nicht.
Fazit
Insgesamt kann über WordPress und die DSGVO gerade eines sagen: Wenn sich die Fachleute in den meisten Fällen uneinig sind, bleibt dem ambitionierten Blogger oder Unternehmer mit eigener Homepage nur ein pragmatischer Ansatz: Eine komplette DSGVO-Gleichsetzung kann zum aktuellen Stand niemand voraussetzen.