Das Wichtigste zum Datenschutz bei WordPress in Kürze
- Jede Website – auch ein WordPress-Blog – braucht eine Datenschutzerklärung und ein Impressum. Dies gilt sowohl für selbstgehostete Seiten als auch für wordpress.com-Seiten.
- Datenschutzerklärung und Impressum müssen von jeder Unterseite aus erreichbar sein.
- Deaktivieren Sie die standardmäßige Gravatar-Verknüpfung in der Kommentarfunktion. So verhindern Sie, dass die IP-Adressen der Kommentatoren an den Gravatar-Server übertragen werden.
- Passen Sie die Kommentarfunktion an: Durch eine zusätzlich Codezeile verhindern Sie die Erhebung der IP-Adresse der Kommentatoren.
- Lassen Sie bei der Einbindung von Plugins Vorsicht walten. Insbesondere Social-Media- und Analyse-Plugins sind in Sachen Datenschutz meist fragwürdig.
Das kleine Einmaleins für WordPress: Impressum & Datenschutzerklärung einfügen
Mehr zum Thema WordPress:
Inhaltsverzeichnis
Es ist heutzutage leicht, eine eigene Website zu erstellen. Dank verschiedener Content-Management-Systeme sind hierfür nämlich keine Programmierkenntnisse mehr notwendig. WordPress wird hierbei von vielen genutzt. Dabei machen es sich einige Websitebetreiber jedoch etwas zu leicht: Um WordPress in Sachen Datenschutz korrekt zu nutzen, sind einige Punkte zu beachten – auch Richtig zu bloggen will gelernt sein.
Dieser Ratgeber erläutert, was bei einem WordPress-Blog zum Datenschutz zu beachten ist. Tipps zur Umsetzung der notwendigen Maßnahmen finden Sie ebenfalls.
Eine Datenschutzerklärung ist für WordPress-Blogs Pflicht
Ein Datenschutzhinweis ist für Websites grundsätzlich notwendig. Jeder Onlineauftritt muss eine Erklärung aufweisen, welche die Seitennutzer darüber informiert, welche personenbezogenen Daten erhoben, gespeichert und verwertet werden. So ist auch bei der Nutzung von WordPress dem Datenschutz auf diesem Weg Tribut zu zollen.
Weiterhin gehört ein Impressum auf jede Website, sodass klar wird, wer die Seite betreibt.
Den richtigen Ort für die Datenschutzerklärung und das Impressum finden
Das Bundesdatenschutzgesetz (BDSG) bestimmt, dass die Erläuterungen zum Datenschutz jederzeit einsehbar sein müssen. Im WWW bedeutet dies: Der Link zur Datenschutzerklärung muss von jeder Unterseite aus erreichbar sein.
Etabliert hat sich aufgrund dieser Vorgabe die Platzierung des Links im Footer einer Website.
Datenschutzerklärung für WordPress: Muster zum Download
Hier können Sie eine Vorlage einer Datenschutzerklärung für WordPress-Blogs downloaden:
Download als PDF Download als .doc
Kommentarfunktion von WordPress dem Datenschutz zuliebe anpassen
Die Möglichkeit für Nutzer, Inhalte zu kommentieren, ist für viele Blogbetreiber besonders wichtig: Ohne diese Form der Kommunikation macht das Bloggen nur halb so viel Spaß. Doch die Standardeinstellungen zu den Kommentaren stehen bei WordPress dem Datenschutz im Wege.
Zwei Problematiken sind bekannt:
- Gravatar: Standardmäßig werden sämtliche Kommentatoren mit der Gravatar-Database abgeglichen. Dabei werden personenbezogene Daten übertragen. Dies können Sie über Einstellungen – Diskussion – Zeige Avatare abschalten.
- Speicherung der IP-Adressen: Nicht nur die E-Mail-Adressen der Kommentatoren werden gespeichert, sondern ebenfalls deren IP-Adressen.
Um letzteres zu verhindern und Ihren WordPress-Blog in Sachen Datenschutz zu optimieren, muss folgender Code-Schnipsel in die functions.php der Seite eingetragen werden:
Alternativ können Sie das Plugin „RemoveIP“ nutzen, welche den Code für Sie einbindet und dafür sorgt, dass der Datenschutz der Besucher Ihres WordPress-Blogs gewahrt bleibt.
Vorsicht mit Plugins auf WordPress: Social-Media-Buttons, Analysen-Tools & Co. gefährden den Datenschutz
Plugins sind bei vielen Websitebetreibern außerordentlich beliebt: Nach zwei Klicks installiert führen sie Änderungen an der Seite durch, welche ohne Plugin aufwendig programmiert werden müssten. Doch die pfiffigen Helfer sind in Sachen Datenschutz mitunter kontraproduktiv.
Insbesondere die Einbindung von Social-Media- oder Analyse-Plugins – dazu gehört unter anderem das WordPress-Plugin Jetpack – führen oftmals dazu, dass eine direkte Verbindung zwischen dem Browser des Seitenbesuchers und den Servern der Social-Media- oder Analyse-Plattformen hergestellt wird.
Websitebetreiber haben daher weder Kenntnis noch Kontrolle über den Umfang der Daten, der erhoben und gespeichert wird.
Weiterführende Tipps finden Sie in den folgenden Ratgebern:
Checkliste: Mit diesen 5 Schritten sichern Sie Ihren WordPress-Blog in Sachen Datenschutz ab
1. | Datenschutzerklärung und Impressum einfügen. Ein Muster finden Sie hier: Muster einer Datenschutzerklärung für Websites. | ❍ |
2. | Link zu Datenschutzerklärung und Impressum so platzieren, dass sie von jeder Unterseite des Wordpress-Blogs aus geklickt werden können. | ❍ |
3. | Kommentareinstellungen anpassen: Gravatar deaktivieren und die Speicherung der IP-Adressen abstellen. | ❍ |
4. | Plugins mit Vorsicht wählen: Social-Media-Buttons und Analyse-Tools müssen in der Regel in dem Datenschutzhinweis vermerkt werden. | ❍ |
5. | SSL-Zertifikat einbinden. | ❍ |
Hallo zusammen,
wäre echt Top, wenn ihr IPv6 auf eure Website bringen könntent, damit Menschen (Mich eingeschlossen) nicht über das langsame CGNAT gehen müssen :/
Hallo,
ich hab gerade versucht den Code zum unterbinden der IP Speicherung bei Kommentaren in meine functions.php zu kopieren. Das funktioniert aber nicht. Mit google habe ich dann schnell eine etwas andere Version gefunden. Da es sich um eine Vereinshomepage handelt und ich das auch nur mache, weil ich vermeintlich die meisten IT Kenntnisse habe, bin ich mir nicht sicher, was die korrekte Version ist. Es ist zumindest so, dass die Version von dieser Seite maketecheasier.com/remove-ip-address-comments-wordpress/ ohne Fehlermeldung gespeichert wird.
Wie ist deine Einschätzung zu den Unterschieden?
Gruß Dirk
Wie verhält es sich mit dem Plugin ResponsiveVoice, gibt es eine Möglichkeit es DSGVO konform zu nutzen? Danke schon mal. Viele Grüße Anne
Guten Tag,
in Ihrem Muster für eine Datenschutzerklärung für WordPress-Websites, steht, dass die Server-Logfiles nach maximal 7 Tagen gelöscht werden. Wie kommen Sie auf die Zahl von 7 Tagen? Kann ich diese Zahl problemlos in die Datenschutzerklärung für meine mit WordPress erstellte Website übernehmen?
Vielen Dank und herzliche Grüße,
P. H.
Ich bin gerade dabei neue Plugin für WordPress zu finden und welche wir für uns nutzen können.
Wir nutzen auch ein Consent Manager Tool. Bis jetzt sind wir sehr zufrieden damit.
Habt ihr mit diesem Tool schon Erfahrungen gemacht?
Freue mich auf den Austausch!
LG
Thommy
Mich ärgert, wenn Unternehmen wie Post, Elster, Plugin-Anbieter für WordPress etc. mich per E-Mail anschreiben und darin meinen Benutzernamen angeben. Wenn mein E-Mail-Account gehackt werden sollte, sind 50% meiner Zugangsdaten für den jeweiligen Account bekannt.
Meine Frage: Ist die Angabe des eigenen Benutzernamens in Anschreiben mittels E-Mails datenschutzrechtlich zu vertreten oder kann ich verlangen, dass die Nennung meines BN in E-Mails unterbleibt?
Das Plugin RemoveIP ist schon 3 Jahre alt und in Bezug auf die aktuellen WordPressinstallationen nicht getestet. Gibt es da ein alternatives Plugin?
Datenschutz ist ein sehr wichtiges und übergreifenden Thema. Danke das du die wichtigsten Punkte aufgelistet hast. Liebe Grüße
Hallo,
ich betreibe ein Forum über WordPress, wofür ich jede Menge Plugins nutzen muss, damit es läuft.
Die allgemeinen Richtlinien habe ich schon umgesetzt, aber bei den meisten Plugins bekommt man keinerlei Info, ob die den DSGVO Richtlinien genügen. Die Anbieter reagieren kaum auf Anfragen, im Netz findet man nichts.
Wie kann man hier vorgehen? So langsam gehen mir die Ideen aus. Muss man wirklich jedes Plugin durchgehen oder nur die, die Datenkraken sein könnten?
Wie machen es andere WordPressseitenbetreiber?
Besten Dank
Carola
Hallo Carola,
die Anpassung der Datenschutzerklärung ist beim Einsatz von Plugins notwendig, die personenbezogene Daten in irgendeiner Weise verarbeiten. In der Regel gibt es entsprechende Aufstellungen zu unterschiedlichsten Plugins, bei denen Fachkundige die Zulässigkeit gemäß DSGVO sowie die Datenverarbeitung geprüft haben. Ist nicht bekannt, ob das eine oder andere Plugin zulässig ist, ist es im Zweifel besser, auf die Verwendung zu verzichten.
Ein Datenschutzbeauftragter kann im EInzelfall prüfen, welche Vorgänge zulässig sind und welche nicht.
Die Redaktion von Datenschutz.org
Es ist ein Fehler im Code zum Entfernen der IP Adressen. So lautet er korrekt. Nur eine Klammer zuviel.
function wpb_remove_commentsip( $comment_author_ip ) {
return “;
}
add_filter( ‚pre_comment_user_ip‘, ‚wpb_remove_commentsip‘ );
Viele Grüße,
Florian
Hallo Florian,
der von Ihnen angegebene Code entspricht exakt dem Code-Schnipsel auf unserer Seite (nur auf vier, statt auf zwei Zeilen verteilt).
Die Redaktion von Datenschutz.org
1. WordPress und andere Blogsysteme/CMS verwenden Sessionscookies und Provider werden aus berechtigtem Interesse (Erkennung und Verfolgung eventueller strafbarer Handlungen) Serverlogfiles speichern. Die Bereitstellung optimierter Daten, z.B. Bildgrößen, die zum Browser oder Bildschirmgröße des Anzeigegerätes passen, wird per Javascript und/oder der Nutzung von Cookies realisiert. Eigentlich wird hier im Interesse des Seitenbesuchers gehandelt und trotzdem muss das dann in die Datenschutzerklärung. Diese Daten werden nicht für irgendwelche Trackings etc. benutzt. Nach der e-Privacy-Richtlinie muss ich mir das Einverständnis zur Nutzung von Cookies einholen, auch wenn sie einzig und allein dem Zweck dienen, dem Webseitenbesucher eine für ihn technisch optimierte Website anzubieten (z.B: Minimierung des zu übertragenden Datenvolumens durch gerätespezifische Optimierung der Bildgrößen). Schießen da DSGVO und e-Privacy nicht am eigentlichen Ziel, der widerrechtlichen Verarbeitung und Nutzung privater Daten, vorbei?
2. Bei vielen konkreten Anfragen wird auch hier auf Rechtsanwälte, genauer Fachanwälte verwiesen. Schön! Wenn ich z.B. die im Land Brandenburg auffindbaren Fachanwälte für Internetrecht/Medienrecht mit den zu beratenden vorhandenen Webseitenbetreibern ins Verhältnis setze, dürften Jahre vergehen, bis alle Websites rechtskonform sind. Wenn man dann noch berücksichtigt, dass die Gesetze in den nächsten Jahren noch angepasst werden, was wiederum auch Anpassungen der Websites (Datenschutzerklärung/Cookiebehandlung) erfordert, dann ist davon auszugehen, dass eine sehr große Anzahl von Websites, nie rechtskonform gestaltet werden sein, völlig unabhängig vom Willen des jeweiligen Seitenbetreibers.
Ich versuche die Lücke deshalb mittels geeigneter Fachbücher zu schließen. Für Websitebetreiber gibt es zur Zeit eigentlich nur ein Buch, das versucht viele Aspekte, die für Websitebetreiber relevant sind zu erläutern. Der Preis beträgt knapp 40 EURO. Hilfen zur konkreten Umsetzung sind auch dort Mangelware.
Fazit: Es gibt zu wenig Rechtsanwälte und es fehlt an alternativen Informationsquellen. Wie soll man da geltendes Recht umsetzen? – Trotzdem ist der Gesetzgeber nicht in der Lage oder gewillt, gegen den willkürlichen Abmahnwahn, dem man wieder einmal ausgesetzt ist, vorzugehen. Damit wird meine Existenz gefährdet, denn ich kann nicht einfach mal ein paar tausend EURO für Auseinandersetzungen wegen Verstößen gegen die DSVGO abstellen. Ich will rechtskonforme Websites erstellen. Es ist aber unmöglich, sich ausreichend zu informieren.
Hi,
Wo genau muss denn dieser Code-Schnipsel in die funktions.php rein?
Wenn ich das mache, kommt bei mir nur noch eine weisse Seite.
Hallo Karsten,
das können wir so pauschal nicht beantworten, da es sich nach dem jeweiligen Aufbau der betreffenden functions.php richtet. Sie können ggf. durchtesten, an welcher Stelle der Code keinen Fehler generiert.
Die Redaktion von Datenschutz.org
Guten Morgen.
Vielen Dank für diesen sehr guten Beitrag und die angebotenen Hilfsmittel. Es ist momentan alles noch undurchsichtig für Nicht-Juristen, was als Anforderungen auch an private Sitebetreiber durch die EU DSGVO umzusetzen ist.
Entsprechend der DSGVO (und in der Vergangenheit schon nach TMG, wenn ich richtig liege) ist bei der Übermittlung von personenbezogenen Daten eine Verschlüsselung dieser sicherzustellen. Gehe ich Recht in der Annahme, das dies nicht zwingend erforderlich ist, wenn ich weder Kontaktformular, noch Kommentarfunktion nutze? Durch die Seite werden ja in diesem Fall keine personenbezogenen Daten erhoben, oder?
Vielen Dank und viele Grüße,
Marian
Hallo Marian,
es ist richtig, dass die Verschlüsselung der Sicherheit der übermittelten Daten dient.
Die Redaktion von Datenschutz.org
Schade, dass der Artikel so oberflächlich ist. Die Ratschläge mögen nützlich sein für diejenigen, die selbst gehostete Blogs haben, für Nutzer des wordpress.com-Services dagegen sind sie weitgehend sinnfrei, wie ja auch hier in den Kommentaren deutlich wird.
Wenn mal jemand die Situation dieser Blogger genauer beleuchten würde (welche Möglichkeiten bestehen, welche Risiken bergen die fehlenden Konfigurationsmöglichkeiten, evtl. Positionierung sich der wordpress.com-Support dazu), wäre das vermutlich hilfreicher.
Hallo Cinzia,
vielen Dank für Ihre Anregungen. Wir bemühen uns, unsere allgemeinen Ratgeber so zu gestalten, dass sie für alle unsere Leser hilfreich sind.
Die Redaktion von Datenschutz.org
je allgemeiner ein Ratgeber gehalten ist, desto weniger Lesern wird er helfen können. Das ist als würde ich ein Kuchenrezept suchen und dann steht nur drin, dass der Kuchen im Ofen gebacken wird und aus tierischen und pflanzlichen Bestandteilen zusammen gesetzt wird. Ja, damit sind alle Kuchen abgedeckt und jeder Bäcker ist angesprochen. Aber geholfen ist keinem. Dann lieber zehn vernünftige Rezepte, die halt wirklich beim backen helfen.
Ihr seht ja selbst, wie viele Fragen in den Kommentaren aufkommen.
Hallo,
vielen Dank erstmal für den übersichtlichen und ausführlichen Artikel.
Ich habe auch eine Frage: Wenn ich WordPress in der Standardversion installiere und die Kommentarfunktion abstelle, gibt es dann trotzdem noch Dinge, die ich bzgl. der DSGVO beachten muss? Beispielsweise habe ich gehört, dass WordPress von sich aus schon Cookies setzt (also nicht erst manche Plugins), so dass auf jeden Fall ein Cookie Hinweis beim Erstbesuch eines Internetnutzers notwendig ist, sobald man WordPress nutzt – also selbst wenn man keine Plugins und Trackingsdienste installiert hätte.
Hallo Andreas,
auch Datenverarbeitungen, die nicht durch eigens installierte Plugins hervorgerufen werden, müssen in der Datenschutzerklärung dokumentiert werden. Daher müssten Sie sich darüber informieren, welche dies bei Ihrer Seite sind.
Die Redaktion von Datenschutz.org
Hallo zusammen,
jetzt tauchte das Thema Google.Fonts für WordPress (wieder) auf Wie seht Ihr das datenschutzrechtlich?
Was passiert dann als nächstes mit den großen Service-Servern die Bootstrap oder JQuery zur Verfügung stellen. Ist das dann auch unsicher oder fällt das unter technisch notwendig, weil internationaler Standard?
Hallo Klaus,
beachten Sie, dass wir an dieser Stelle keine anschließende rechtliche Beratung erteilen dürfen. Eine Einschätzung diesbezüglich ist deshalb nicht möglich. Wenden Sie sich bitte an einen Anwalt oder einen Datenschutzbeauftragten. Die Nutzung von Google-Fonts muss in der Regel in der Datenschutzerklärung der jeweiligen Seite Niederschlag finden.
Die Redaktion von Datenschutz.org
Hallo, ich habe bei den events immer eine Leiste mit Links zu Facebook und Co. Diese möchte ich aber nicht nutzen. Auch wenn dann Events nicht geteilt werden können. Aber ich finde keine Einsatellung um dies auszuschalten. Das entspricht der Leiste, die vor den Comments angezeigt wird.
Vielen Dank
Ihr Link zu „Datenschutzerklärung für WordPress: Muster zum Download“ suggeriert, es gäbe auch einen Abschnitt zu WordPress in der Datenschutzerklärung, dem ist aber nicht so. Diesen sollte dann wohl jeder WordPress-Nutzer selbst erstellen, weil beim Aufruf der eigenen Seite auch der Server von WP.com aufgerufen wird.
Weil es hier in den Kommentaren stand: Ja, auch die Verwendung von Google-Fonts bedarf einem Hinweis in der Datenschutzerklärung.
Hallo Mirko,
es wir nicht unbedingt wp.com aufgerufen, wenn Sie WordPress nutzen, es sei denn, die URL lautet [irgendeinblog].wordpress.com. WordPress ist ein Content-Management-System, das die Website-Betreiber in der Regel selbstständig betreuen und je nachdem, welche Daten durch Plugins oder Ads erhoben werden, bedarf es dann einer Anpassung der Datenschutzerklärung.
Die Redaktion von Datenschutz.org
Leider auch noch nicht ganz exakt … – Es ist durchaus mgl. dass man ein Blog, welches man auf wordpress.com hostet, über eine eigene URL/Domain ausliefert und in diesem fall werden auch Daten von wp.com nachgeladen.
Beispiel: [Link von der Redaktion entfernt]
Guten Tag,
Wie verhält es sich mit einer über WordPress betrieben Künstler*in portfolioseite mit keinerlei Kommentar-Funktionen oder anderen Social Media Funktionen? Lediglich hyperLinks zu externen anderen webseitenbetreibern (teilweise fb, instagram,etc.) und eine mailto Kontakt Funktion.
Vielen Dank
Hallo Max,
auch in diesem Falle werden vom Hoster einer Website in aller Regel Logfiles gesammelt, die einen Auftragsdatenverarbeitungsvertrag sowie die Anpassung der Datenschutzerklärung begründen.
Die Redaktion von Datenschutz.org