DSGVO, GDPR und WordPress im Griff (?)

Sorry, this time it will be a posting in German. We are all struggling to comply with GDPR or DSGVO as we call it in Germany. But as I am mostly linking to german resources, I decided to write the whole post in German.

andrich.blog benutzt WordPress und langsam rückte der 28.5. immer näher, so dass ich mir überlegen musste, wie ich mit dem Blog weiter verfahren wollte. Die Panik-Mache in meiner Filter-Bubble war groß. Mancherorts sah man schon den Untergang der Blogger-Szene in Deutschland voraus.

Für einen kurzen Moment ergriff mich auch die Panik. Schliesslich ist das hier ein low-volume Blog, dass hin und wieder ein Update erfährt. Also dicht machen das Ganze? Ne, dafür ist es mir zu schade. Und ich will ja eigentlich viel mehr schreiben, aber die liebe Zeit…

Nächste Option war ein Umstieg auf Hugo. Nur noch statische Seiten hosten, keine Kommentare, kein Tracking, Logfiles anonymisiert und nix sonst. Damit ist man auf jeden Fall sicher was die GDPR/DSGVO angeht. Aber an sich mag ich WordPress. Ich mag auch gerne mal von meinem iPad aus bloggen können, was zwar mit Hugo auch geht, aber der Workflow ist mir zu aufwendig.

Und da stolperte ich über das erste sinnvolle Posting in meiner Filter-Bubble. Patricia Cammarata veröffentlichte ihn ihrem Blogpost DSGVO? Da gibt’s doch was von Ra… äh ein WordPress Plugin einen Erfahrungsbericht, eine einfache Anleitung und alles perfekt gemacht für unaufgeregte Leute mit einem Blog ohne Schnickschnack. Also mich…

Ich werde in diesem Blogpost nur ein paar Ergänzungen zu Patricias Checkliste beschreiben, da ich bei der Gelegenheit auch den Hoster gewechselt habe und einige “geliebte Dienste” ersetzen musste. Also lest in jedem Fall auch das ganze Posting von Patricia komplett durch und erstellt euch dann einen eigenen Masterplan, wie ihr vorgehen wollt.

Hostet selbst oder bei einem Hoster wo ihr vollen Einfluss auf euer Blog habt.

Bisher war andrich.blog bei WordPress.com gehostet. Bequem, einfach und prinzipiell sorgenfrei. Man hat halt nur keinerlei Einfluss auf die Plugins, das Hosting, etc. pp. Besonders die Plugins sind aber ein Punkt, wo man ein Augenmerk drauf halten muss. Die Auskunft von WordPress.com, dass und was sie machen werden um der GDPR zu entsprechen, sind gelinde gesagt schwach und halbherzig.

Ich bin mit Sack und Pack auf einer Maschine in der Hetzner Cloud umgezogen. Hosting für 2,36€ im Monat geht voll in Ordnung für ein kleines Blog. Dort habe ich ein Ubuntu und ein frisches WordPress installiert. Danach noch die Daten bei WordPress.com exportiert und dort importiert. Fertig war die Datenmigration.

Diese drei Tutorials von Digital Ocean sind sehr hilfreich und führen in einfachen Schritten zum Ziel.

Noch ein Tipp am Rande. Sucht euch einen Hoster bei dem das Thema AV-Vertrag genauso einfach gelöst ist wie bei all-inkl.com oder Hetzner.

Und solltet ihr nicht selbst hosten wollen, sondern zu einem WordPress Hoster eurer Wahl gehen wollen. Dann nehmt einen, wo ihr komplette Kontrolle über das WordPress und alle Plugins habt.

HTTPS only!

adlerweb hat es in seinem Kommentar nochmals thematisiert und auch Patricia hat es erwähnt. Denoch ist die Sache so wichtig, dass ich es auch nochmals dringend ans Herz legen will. Stattet euren Server mit einem SSL Zertifikat via letsencrypt aus und erzwingt bei der Einrichtung, dass aller HTTP Datenverkehr auf HTTPS umgeleitet wird.

Statistiken sind wir alle geil drauf, aber brauchen wir unbedingt Google Analytics?

Ich versuche in der Tat seit Jahren Google zu meiden wo es geht. Daher bin ich logischerweise auch kein großer Freund von Google Analytics. Matomo (ehemals Piwik) ist für mich persönlich auch keine Lösung – nach gut 20 Jahren Software-Entwicklung und IT ist diese Software immer noch der Endgegner. 😉

Ich habe mich für mein Blog entschieden WP Statistics zu nutzen – einfach aufzusetzen, tut was es soll, GDPR/DSGVO konform, gute Integration ins WordPress Dashboard. ❤

Datenschutzerklärung in Englisch

Nachdem ich mich erstmal damit beschäftigt habe, in welcher Sprache ich als Deutscher die Datenschutzerklärung verfassen muss, habe ich mich letztlich für eine Erklärung in Englisch entschieden.

Man muss sie in einer der Amtssprachen der EU verfassen. Und aufgrund der Tatsache, dass der meiste Inhalt in Englisch geschrieben ist, sollte auch die Datenschutzerklärung meiner Meinung nach in Englisch verfasst sein.

Für die Erstellung einer Erklärung in Deutsch gibt es den wundervollen Dienst Datenschutz Generator. Bei Englisch wird es leider schnell eng, da es halt keine Hinweise zu wirklich guten kostenlosen Diensten gibt. Letztlich bin ich bei e-recht24.de gelandet, da ich mit diesem Dienst auch schon sehr gute Erfahrungen gemacht habe und sie für Premium-Kunden auch eine Erstellung in Englisch anbieten.

Nettes Bonus-Feature von e-recht24.de, sie bieten auch ein Plugin mit Sharing Buttons an, für dass sie auch bezüglich der Konformität garantieren. Am Ende ist es eine angepasst Version des Shariff Wrappers, der an sich auch schon GDPR konform ist, aber wenn ich schon zahlender Kunde bin…

Kommentarfunktion um Zustimmung zur Speicherung ergänzen

Ich habe dafür das Plugin WP GDPR Compliance installiert. Es ergänzt die Kommentare um eine entsprechende Checkbox und bietet obendrein noch die Möglichkeit, dass sich ein Anwender über ein Formular seine Daten laden bzw. auch anonymisieren lassen kann. Weiterhin habe ich noch Remove IP installiert, welches bei Kommentaren die IP Adresse entfernt.

Webfonts

Bindet sie lokal ein oder verzichtet am besten komplett auf sie. Um auf die sichere Seite zu gelangen, installiert euch das Plugin Autoptimize und aktiviert dort in den Einstellungen auf der Registerkarte Extra den Punkt “Remove Google Fonts”.

Smileys

WordPress hat die Unart Smileys durch eigenen Code zu ersetzen, der im Zweifel ein Nachladen vom WordPress Server auslöst. Installiert euch Autoptimize und aktiviert dort die Option, dass Smileys entfernt werden bzw. nicht mehr ersetzt werden. Dies kann man auf der Registerkarte Extra mit der Einstellung “Remove emojis” tun.

Sharing Buttons

Hier müsst ihr unbedingt auf eine Lösung wie Shariff Wrappers umstellen. Es gibt aktuell kein Social Sharing Plugin der verschiedenen Plattformen, dass man guten Gewissens bei sich einbinden kann.

Youtube, Maps und Co.

Ich habe in meiner Datenschutzerklärung entsprechende Abschnitte für Youtube, Google Maps und Vimeo drin. Damit darf ich soweit ich es überblicken kann rechtssicher diese Dienste einbinden. Bei Youtube habe ich mir noch das Plugin YouTube Lyte installiert, welches die YouTube Videos durch klickbare Bilder ersetzt, was auch die Performance der Seite nochmals verbessert.

Problematisch sind laut e-recht24.de aktuell Instagram, Facebook, Twitter und SoundCloud. Diese kann man wohl nicht GDPR/DSGVO konform einbinden, was sehr schade ist, weil ich schon mal gerne Tweets usw. in ein Blogpost einbinden möchte. Aber eventuell tut sich hier noch etwas in den nächsten Tagen oder ich binde diese Inhalte über Screenshots ein. Schön wäre ein Plugin analog zu YouTube Lyte, dass einen Screenshot anstatt des Embed Codes einbindet und dann bei einem Klick auf den Dienst verlinkt.

Fazit und Aufwand

Der ganze Spass hat 1-2 Abende inkl. der Recherche und dem Ausprobieren von verschiedenen Plugins gekostet. Es hat sich meiner Meinung nach gelohnt. Wenn ihr schon mit einer fertigen Liste von Plugins daherkommt, dann geht das Ganze auch schneller, da ihr nur noch eure Plugins checken oder die Konfiguration anpassen müsst.

Ich hoffe dieser Post hat euch ein bisschen schlauer gemacht, ein paar Anreize geben und hilft euch bei der Umstellung. Fragen, Kritik und Anregungen gerne in den Kommentaren.

Linkliste


Image credit: Dennis van der Heijden. Shared under the Creative Commons Attribution  2.0 Generic license.

6 thoughts on “DSGVO, GDPR und WordPress im Griff (?)”

  1. Sicher wichtige Tipps und ein Low-Volume-Blog wird wohl erst mal keine Zielscheibe, aber da fehlt doch noch einige Punkte…

    Erst mal zu WP-Statistics: Gut, aber je nach DSGVO-Interpretation nicht ausreichend. Soweit ich das verstehe muss der Nutzer in der Lage sein das Tracking abschalten zu können, nativ ist das in WPS noch nicht drin, es wird lediglich die IP pseudonymisiert. DNT wird im nächsten Release drin sein, komplettes Abschalten ist noch in Arbeit.

    Smilies sind auch noch ein Problem. WordPress ersetzt in Posts und Kommentaren Smilies automatisch durch Bilder, welche aus der Cloud (s.w.org) geladen werden. So gehen auch hier im Blog aktuell die IPs der Nutzer an diesen Dienst – und das ohne Hinweis in der Datenschutzerklärung. Abhilfe: https://de.wordpress.org/plugins/disable-emojis/

    Weiterhin muss man auch bei Links ziemlich aufpassen. Auch hier ersetzt WordPress viele Texte automatisch durch Embeds der jeweiligen Dienste. Das betrifft nicht nur “große” wie YouTube sondern klappt z.T. auch dann, wenn das Linkziel ein anderer WordPress-Blog ist. Und das wohl auch in den Kommentaren. Per Plugin konnte ich da keine vollständige Lösung finden, der Code hier sieht aber vielversprechend aus: https://kinsta.com/knowledgebase/disable-embeds-wordpress/#disable-embeds-code

    Heute eher kein Problem mehr, aber doch zu erwähnen: Spätestens wenn es einen Kommentarbereich gibt ist HTTPS Pflicht, also pures HTTP oder Server ohne Umleitung besser meiden.

    Im Hintergrund sollte man auch noch auf bekannte Plugins wie z.B. das von WP penetrant beworbene Akismet achten – Link hattest du ja bereits gepostet, aber viele denken da gar nicht dran.

    1. Ich habe in der Tat bei WP Statistics sowohl das Hash der IPs als auch die Möglichkeit zum Abstellen des Treckings aktiviert. Daher auch der 2. Banner beim ersten Besuch. Damit kann man das Tracking für sich deaktivieren.

      Smileys sind bei mir deaktiviert. Ich habe just die entsprechende Option in Auto Optimize aktiviert. Sollte ich aber in Posting als Update noch aufnehmen.

      Das mit den Embeds generell muss ich mal recherchieren. Denn das muss man bis es gewisse Urteile gibt, komplett vermeiden.

      Das Thema HTTPS ist im Posting von Patricia abgefrühstückt. Und unterschwellig auch durch die Tutorials drin. Werde ich aber nochmals explizit machen. Guter Hinweis!

        1. Verdammt. Irgendwie finde ich die Lösung über den Banner auch irgendwie unglücklich. Ich würde lieber eine Option anbieten wie die Möglichkeit seine Daten runter zu laden, so dass man im Nachhinein das Tracking deaktivieren kann. Das generelle Hashing habe ich sowieso an, denn das muss man ja, wie du richtigerweise ausführst. Dann warte ich mal aufs Update.

  2. …und ich sehe grade, dass hier auch noch Gravatar aktiv ist und somit auch da die Nutzer-IPs hin gehen. Lässt sich in den WP-Einstellungen unter Diskussion abschalten.

    1. Gravatar ist in der Tat ein spannendes Thema und da streiten sich einige drüber. Aber guter Hinweis. Ich brauch die Bildchen nicht, daher kann ich sie auch deaktivieren 😉

Leave a Reply

Your email address will not be published. Required fields are marked *