WordPress-Webseiten werden nicht von selbst DSGVO-konform. Cookie Consent Lösungen und Datenschutztexte sind nur ein Teil der Wahrheit. Dieser Artikel als erster Teil einer Serie beleuchtet die Grundlagen und gibt praktische Tipps für WordPress.

Einleitung

Mit der Einführung der Datenschutzgrundverordnung (DSGVO) am 25.05.2018 schien sich die Welt im Internet zu ändern. Auf einmal, so schien es, mussten zahlreiche neue Vorschriften beachtet werden. In Wirklichkeit gab es wichtige Entwicklungen bereits im Jahr 2017, also vor Start der DSGVO.

Die Rede ist von Urteilen des Europäischen Gerichtshofs (EuGH) und des Bundesgerichtshofs (BGH). Höchstrichterlich wurde von EuGH und BGH festgestellt, dass IP-Adressen personenbezogene Daten darstellen. Weil diese Netzwerkadressen zwangsläufig bei jedem Aufruf einer Webseite übermittelt werden, gleicht jeder Aufruf einer Webseite dem Austausch einer Visitenkarte zwischen Besucher der Webseite und Betreiber der Webseite.

Wenn eine Webseite beispielsweise Google Maps einbindet, dann wird es noch schlimmer – jedenfalls aus Sicht der Datenschutzrichtlinien. Dann nämlich wird die Visitenkarte des Besuchers der Webseite gleich noch mit an Google übermittelt. Dies kann nicht verhindert werden. Nicht umsonst steht das Kürzel IP in IP-Adresse für Internet Protocol.

Am 16. Juli 2020 gab es ein Urteil des EuGH zum Privacy Shield. Dieses informelle Datenschutzabkommen zwischen Europa und Amerika wurde – wenig überraschend – für ungültig erklärt. Damit ist jeder direkte Transfer personenbezogener Daten aus Europa nach Amerika rechtswidrig.

Für Webseiten heißt das: Tools amerikanischer Anbieter dürfen nicht ohne Einwilligung des Webseiten-Besuchers geladen werden! Bevor sie anfangen, ein Cookie Popup einzusetzen: Lassen Sie es lieber bleiben, denn diese sogenannten Cookie Consent Lösungen funktionieren nicht richtig (Details erfahren Sie im zweiten Teil dieser Artikelserie). Vorabtipp: Nutzen Sie Alternativen für Tools von Google oder entfernen Sie nicht wirklich benötigte Google Tools, wo immer es geht.

Beispielsweise benötigt Google Analytics eine Einwilligung durch den Webseiten-Besucher, bevor das Tool geladen werden darf. Außerdem erhebt das Google Tool dermaßen viele Daten, dass man den Wald vor lauter Bäumen nicht mehr sieht. Einfach geht anders. Nutzen Sie stattdessen lieber Analyse-Werkzeuge wie Trackboxx, die keine  Einwilligung durch den Nutzer erfordern.

WordPress-Webseiten sind insbesondere von der DSGVO betroffen. Dies liegt zum einen daran, dass WordPress Mechanismen verwendet, die Out Of The Box nicht DSGVO-konform sind.

Ein Beispiel hierfür sind Gravatare. Kaum jemand braucht sie, aber sie sind eben da. Weiterhin sorgen die bekannten Updates der WordPress-Plattform, aber auch von Plugins für ständige Änderungen der Webseite. Diese Änderungen können potentiell immer wieder für DSGVO-Verstöße sorgen.

Zudem gibt es WordPress Themes, die von Hause aus Dinge tun, die nicht mit unseren Datenschutzgesetzen vereinbar sind. Hierzu zählt beispielsweise das Laden von Schriften von Google Servern.

WordPress-Tipps

Deaktivieren Sie Gravatare. Denn durch das Laden von Gravataren findet unerlaubtes Tracking statt, also das Nachverfolgen des Nutzers. Dafür wäre eine Einwilligung erforderlich, die es in WordPress nicht gibt. Im Menü klicken Sie auf Einstellungen à Diskussion und scrollen dann in der sich öffnenden Konfigurationsseite runter. Dort stellen Sie sicher, dass Avatare anzeigen deaktiviert ist:

Link für Datenschutzerklärung muss überall vorhanden sein

Gleich der nächste Tipp: Jede Seite einer Internetpräsenz muss einen Link auf die Datenschutzerklärung vorweisen. Dies gilt auch für die WordPress Login-Seite www.irgendeine-webseite.de/wp-admin. Damit dort der Link auf die Datenschutzerklärung automatisch erscheint, geht man so vor:

Im Dashboard wählt man im Menü Einstellungen das Untermenü Datenschutz aus:

Danach gibt man die Seite an, die die Datenschutzerklärung enthält:

Hat man noch keine solche Seite, kann man hier komfortabel eine neue erstellen. Danach sieht die WordPress Login-Seite so aus:

Der gewünschte Link auf die Datenschutzerklärung ist also vorhanden.

Wer es ganz richtig machen will und auch noch den Link zum Impressum einfügen möchte, geht anders vor. Statt dem oben genannten Vorgehen, fügt man einen Code in die Datei functions.php des verwendeten Themes ein:

add_action('login_footer', 'km_addition_to_login_footer');
function km_addition_to_login_footer() {
  echo '<div style="text-align: center;"><a href="/impressum.html">Impressum</a> | <a href="/datenschutz.html">Datenschutzerklärung</a></div>';
}

Anstelle der genannten Referenzen im HREF-Attribut sind die richtigen Dateipfade für Impressum und Datenschutzerklärung zu verwenden. Das Ergebnis ist dann wie folgt:

Dieses Vorgehen ist zwar etwas komplizierter, dafür aber rechtssicherer. Denn im Prinzip muss auch auf jeder Seite ein Impressumslink vorhanden sein. Jedenfalls gilt dies für jegliche geschäftsmäßig betriebene Webseite. Geschäftsmäßig ist eine Webseite bereits, wenn eine Gewinnerzielungsabsicht vorhanden ist, beispielsweise durch Verwenden von Affiliate Links. Es ist hierbei unerheblich, ob tatsächlich ein Gewinn erzielt wird!

Die folgenden Code-Schnipsel müssen in die functions.php des aktuellen Themes eingebunden werden. Dieser technisch etwas anspruchsvolle Prozess ist zwar nicht jedem möglich, sollte aber von jedem guten Webseiten-Betreuer umgesetzt werden können.

Emojis deaktivieren

Um das Laden von externen Ressourcen für Emojis zu unterbinden, ist dieser Code hilfreich:

//Emojis entfernen
remove_action('wp_head', 'print_emoji_detection_script', 7);
remove_action('wp_print_styles', 'print_emoji_styles');

Diese Anweisungen sorgen dafür, dass der folgende Code, der hier nur auszugsweise angegeben ist, verschwindet:

<script type="text/javascript">			window._wpemojiSettings = {"baseUrl":"https:\/\/s.w.org\/images\/core\/emoji\/13.0.0\/72x72\/","ext":".png","svgUrl":"https:\/\/s.w.org\/images\/core\/emoji\/13.0.0\/svg\/","svgExt":".svg","source":{"concatemoji":"https:\/\/wwwschutz.de\/blog\/wp-includes\/js\/wp-emoji-release.min.js?ver=5.5.1"}};...
</script>

Wie man im Coding sehen kann, wird eine Verbindung zu einem Drittserver aufgebaut (s.w.org), der potentiell in einem sogenannten unsicheren Drittland (oft in den USA) steht, welches außerhalb von Europa liegt. Dies ist seit Wegfall des Privacy Shields hochproblematisch und für einen ruhigen Schlaf am besten zu unterlassen.

DNS-Prefetch Anweisungen

Wer DNS-Prefetch Anweisungen austilgen möchte, kann diesen Code in functions.php einbinden:

add_filter('wp_resource_hints', function (array $urls, string $relation): array {
    // DNS-Prefetch für alle externen URLs ausschalten
    if ($relation !== 'dns-prefetch') {
        return $urls;
    }
}, 10, 2);

Damit verschwinden Links wie die folgenden:

<link rel='dns-prefetch' href='//fonts.googleapis.com' />

Für Google Schriften muss man zusätzlich noch dafür sorgen, dass diese generell lokal oder gar nicht geladen werden. Oft mogeln Themes (wie BeTheme oder Avada) externe Schriften ins System, was einen unerlaubten Datentransfer nach Amerika darstellt. Es lohnt sich, die Theme-Einstellungen und die functions.php des Themes zu prüfen.

Hilft das alles nichts, muss man den Theme Code selbst näher anschauen und die Stelle ausfindig machen, wo Google Schriften geladen werden. Oft geschieht dies beispielsweise in CSS-Dateien.

Fazit und Ausblick

Im nächsten Teil dieser Artikelserie steigen wir tiefer ein und betrachten Cookies und einwilligungspflichtige Tools näher. Soviel vorab: Cookie-Banner funktionieren meist nicht und hinterlassen fast immer rechtswidrige Webseiten. IP-Adressen sind datenschutzrechtlich mindestens genauso kritisch wie Cookies. Wer nur von Cookie und Cookie Popups spricht, kennt das Gesamtproblem nicht. Die Datenschutzerklärung ist nur ein (relativ unkritischer) Baustein einer DSGVO-konformen Webseite. Datenschutzgeneratoren sind an sich großer Unsinn.

Freuen Sie sich auf den nächsten Teil, in dem diese Aussagen erklärt und mit Fakten belegt werden.

Über Klaus Meffert

Klaus MeffertKlaus Meffert ist Doktoringenieur und Diplom-Informatiker. Er ist Geschäftsführer der IT Logic GmbH und beschäftigt sich seit 2017 intensiv mit dem Datenschutz für Webseiten. Seine Hauptmotivation für die Einhaltung von Datenschutzregeln ist der Schutz der heimischen Wirtschaft. Sein Anliegen ist das Aufzeigen von Lösungen für diese Art von Datenschutzproblemen, um konstruktiv für DSGVO-konforme Webseiten zu sorgen. Hierfür hat er die Datenschutz-Software wwwschutz für Webseiten entwickelt.

3 Kommentare zu „DSGVO-konforme WordPress Seiten (Teil 1)“

  1. Avatar

    Laut dem TMG muss doch auf jeder Seite ein Link zur Seite Impressum vorhanden sein, oder nicht? Also auch auf der LOGIN-Seite.

    Gibt es denn auch eine kostenlose Alternative zu Google Analytics, welche keine Cookies einsetzt?

    1. Avatar

      Werfen Sie einen Blick auf trackboxx.com. Es gibt eine kostenlose 30-Tage-Testversion, und wenn Sie davon profitieren und auch die Anforderungen des DSGVO erfüllen können, sind die verschiedenen Pakete für das, was sie liefern können, erschwinglich.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

de_DE