DSGVO & WordPress Plugins: So setze ich es in meinem Blog um

(Last Updated On: )

Es gibt keine DSGVO WordPress Plugins, die eine Seite mit einem Klick „sicher“ machen. Es ist ein ganz individueller Weg, je nachdem, was auf der Seite so zu finden ist …

Internetseiten setze ich bereits seit Jahren für meine Kunden um. So ein Heckmeck wie bei der Datenschutzgrundverordnung (DSGVO / GDPR) hab ich lange nicht erlebt. So viel Unwissenheit und Panik. Nun gut. Irgendwie müssen wir da ja jetzt alle durch. Da hilft kein Jammern. Meine Internetseite mit den meisten Besuchern ist dieser Blog hier. Daher hab ich mich hier mal als erstes ran gemacht um diesen WordPress Blog DSGVO konform zu machen. Es ist ein recht klassische WordPress-Installation, wie sie viele haben, weswegen ich mir gedacht habe, dass ich mal festhalte, was ich genau an dieser Seite verändere um hoffentlich/vermeintlich DSGVO-Konform zu sein. Vielleicht hilft es dem ein oder Anderen.

Achtung: Ich mach hier im Artikel ordentlich Werbung für mich selbst und hab allerhand Werbe-Links gesetzt. Daher ist dieser Artikel quasi Werbung.
UND: Ich bin kein Rechtsanwalt und auch dieser ausführliche Artikel ist keine Rechtsberatung und ersetzt natürlich keine.

Jede WordPress-Installation ist ja etwas anders. Speziell je nach Theme. So funktionieren die ein oder anderen Sachen mit bestimmten Themes nicht. Deswegen hab ich ein paar Punkte mal nach Theme sortiert. Das Theme in diesem Blog ist das „Authority Pro“ von StudioPress (welches Kunden von mir kostenlos erhalten können). Weiter unten befinden sich meine Hinweise zum Avada-Theme (welches ich für die meisten meiner Projekte nutze), weil es damit hier und da etwas anders läuft.

Bis auf den letzten Drücker haben viele Plugins (und auch WordPress selbst) noch extrem relevante Updates raus gehauen. „Cookie Notice“ hat beispielsweise am 24.5. eine sehr relevante Funktion hinzugefügt: Die Cookie-Einstellungen kann der Nutzer nun zurücksetzen.

Viele dieser Funktionen lassen sich viel besser direkt in das Theme coden um so auf Plugins zu verzichten. Ich bin allerdings kein Programmierer, somit versuche ich auf Plugins zurück zu greifen, wenn es schnell gehen muss. Dann starten wir mal die DSGVO-WordPress-Plugin-Schlacht:

StudioPress Theme

WordPress DSGVO Cookie Opt-In / Opt-Out

Google Analytics, Facebook und Andere …

Google Analytics & Facebook

Im Grunde läuft es mit den ganzen Cookies immer recht identisch ab. Egal ob Google Analytics, Facebook, PushCrew oder Tawk.to. Das sind die, die ich auf meiner Seite nutz(t)e. Jede Funktion wird ja über einen Javascript-Code hinzugefügt, der beim Laden (mindestens) einen Cookie setzt und Daten an ein Drittunternehmen überträgt. Damit diese blockiert werden, solange der Nutzer dies nicht explizit bestätigt hat, bringe ich diese Codes in einem Plugin unter, welches genau das unterstützt: „Borlabs Cookie“ oder „Cookie Notice“ (ich kann mich noch nicht entscheiden). Andere Plugins, die ich genutzt hatte, um die Funktionen von Google, Facebook usw. hinzuzufügen, muss ich dann natürlich deaktivieren, da diese die Funktion ja in der Regel sofort laden.

Frechheit, dass direkt in der gleichen Woche, wo die DSGVO an Start geht, die ersten Abmahnungen raus gehen:

PushCrew

(Funktion: Benachrichtigungen über den Browser)

Der Dienst bietet jetzt jedem Nutzer die Möglichkeit, das anonyme Tracking auszustellen (Opt-Out). Das hab ich eingestellt. Double-Opt-In und das anonymisieren der IP-Adresse war eh schon voreingestellt und die Möglichkeit auf die Einstellungen zuzugreifen hatte ich vorher auch schon in der Datenschutzerklärung. Das WordPress-Plugin hab ich deaktiviert und den Javascript-Code so eingefügt, dass er erst nach Bestätigung des Nutzers geladen wird.

Tawk.to

(Funktion: Chat-Modul)

Auch der Code/Cookie für mein Chat-Modul wird erst geladen, wenn der Nutzer dies bestätigt hat. Das IP-Tracking hab ich ausgestellt.

Borlabs Cookie

(Funktion: Cookie-Bar & Cookie-Blocker)

Jegliche Drittanbieter die ich auf meiner Internetseite nutze (Google Analtics, Facebook-Pixel, PushCrew, Tawk.to, …) werden über „Borlabs Cookie“ (oder Cookie Notice, siehe unten) erst geladen, sobald der Nutzer dies bestätigt hat. Das ist meines Erachtens aktuell so noch gar nicht notwendig. Aber da die Meinungen da auseinander gehen und es wahrscheinlich ist, dass es in 2019 mit der ePolicy so umgesetzt werden muss, hab ich mich dafür entschieden es jetzt schon so umzusetzen.

Ich hab die Agentur-Version gekauft und kann dieses Plugin somit meinen Kunden kostenlos zur Verfügung stellen.

Cookie Notice von dFactory

(Funktion: Cookie-Bar & Cookie-Blocker)

Borlabs Cookie ist zwar sehr umfangreich und gut. Für mich war die Darstellung aber nicht optimal. Daher war (bzw. bin ich weiterhin) im Zwiespalt, auf gewisse Funktionen zu verzichten – bzw. diese mit weiteren Plugins hinzuzufügen – und auf „Cookie Notice von dFactory“ zurückzugreifen. Dort ist es auch möglich, Cookies erst nach Bestätigung zu laden oder sie zu blockieren und (seit dem 24.5.) können die Nutzer die gemachte Einstellung auch wieder zurückziehen.

Die Möglichkeit sich aus Google separat zu Opt-Outen, bietet Cookie Notice im Gegensatz zu Borlabs nicht. Wenn ich das für notwendig halte, installiere ich dafür noch Google Analytics Opt-Out (DSGVO / GDPR). Man könnte meinen, dass das genauso mit dem Facebook-Opt-Out klapp (Opt-Out Facebook Pixel (DSGVO / GDPR)), das ist aber nicht der Fall.

Und Funktionen wie das Blockieren von eingebetteten YouTube-Videos (und/oder anderen Drittanbieter-Inhalten) bietet es eben sowenig an. Deswegen installiere ich dann noch folgendes Plugin:

Einbettungen blockieren

Das was Borlabs Cookies oder Avada von Haus aus mitbringen, lässt sich alternativ mit dem Plugin „Embed videos and respect privacy“ umsetzen (funktioniert nicht zusammen mit „ARVE Advanced Responsive Video Embedder“). Auch wenn es miese Bewertungen hat. Für mich funktioniert es ganz gut. Es zeigt nun bei eingebetten YouTube-Videos (und anderen Inhalten) ein Vorschaubild, welches ein Nutzer anklicken muss, damit der Inhalt geladen wird. So wird verhindert, dass bereits Daten übertragen werden, noch bevor der Nutzer auf Play klickt.

Es sollte bei YouTube-Videos aber auch reichen, beim Einbetten den „erweiterten Datenschutzmodus“ zu aktivieren. Dann werden – soweit wie ich es verstanden habe – keine Daten übertragen.

Google Fonts (Schriften)

Scheiße: Google-Fonts-Standard-Einstellung = Die Schriften werden von Googles-Server geladen. Lösung: Die Google-Fonts auf den eigenen Server legen, damit sie von dort geladen werden. Oder: Deaktivieren und Standard-Schriften nehmen.

Ich hab es „auf die Schnelle“ nicht hinbekommen mein Theme so umzustellen, dass die Schriften lokal geladen werden. Bei Avada lässt sich das ja sehr schön mit einem Klick erledigen (siehe weiter unten).

Also hab ich nach einer Möglichkeit gesucht die Schriften zu deaktivieren: „Autoptimize“ oder „Disable Google Fonts“ hat bei mir nicht funktioniert.

Im Quellcode war weiterhin der Google-Font:

Mit „Clearfy“ ging es dann (Achtung: Wenn man dies Plugin nutzt, unbedingt checken ob der GA-Opt-Out-Link in der Datenschutzerklärung noch funktioniert!) . Aber alleine nur für diese eine Option so ein umfangreiches Plugin zu installieren, ist ein bisschen mit Kanonen auf Spatzen geschossen. Wenn man das Plugin allerdings eh nutzt, ist es natürlich klar, dass man es darüber macht. Ich bin mir noch uneinig. Nutze ich es nicht, mache ich es so:

Ab in den Quellcode und die entsprechende Zeile in der functions.php auskommentieren:

Wenn ich etwas mehr Zeit habe, suche ich mal nach einer entspannten Lösung um die Google-Fonts lokal zu laden.

Die ersten Abmahnungen sind direkt in der selben Woche sogar schon rausgegangen:

Wobei sich an anderer Stelle dieser Hinweis findet:

Kontaktformulare

Ich nutze „Contact Form 7“ und da lässt sich ja ziemlich einfach ein entsprechender Absatz mit Link zur Datenschutzerklärung ergänzen.

Datenschutzerklärung

Ich nutze den Generator von eRecht24. Ich habe dort einen Agentur-Tarif und kann den kostenpflichtigen Generator somit auch für meine Kunden nutzen. Wem das nicht sicher genug ist und „anwaltliche Haftung für Richtigkeit, Vollständigkeit, Aktualität und Wirksamkeit“ möchte, kann hier mal nach Angeboten gucken: DSGVO – DATENSCHUTZERKLÄRUNG RECHTSSICHER ERSTELLEN LASSEN

Kommentare

Ich deaktiviere innerhalb von WordPress „Gravatar“, da diese Funktion Daten an Dritte überträgt. Desweiteren muss ein Hinweis auf die Datenschutzerklärung ergänzt werden. WordPress hat ja am 17. Mai ein Update raus gehauen, was eine Checkbox zur Kommentar-Funktion hinzufügt. Diese bezieht sich aber nur auf den Cookie der gesetzt wird, wenn man einen Kommentar schreibt. Auf einen Hinweis zur Datenschutzerklärung haben sie verzichtet. Verstehe ich nicht.

Also wieder selbst Hand anlegen. Ich mach es mir ja gerne einfach, weswegen ich „Loco Translate“ (was ich eh installiert habe) nutze, um den Text anzupassen und einen Hinweis hinzuzufügen:

Dieses Plugin nutze ich um fehlende Übersetzungen auf der Website zu ergänzen oder falsche Übersetzungen anzupassen. Geht ebenso gut mit „CodeStyling Localization“.

Ich werde weiterhin die IP-Adresse speichern (und dies in der Datenschutzerklärung erwähnen), da sonst keine strafrechtliche Nachverfolgung bei entsprechenden Kommentaren möglich ist.

Sharing-Buttons

Ich nutze „Shariff“ für die ganze social-sharing-buttons.

Email Subscribers & Newsletters

Ich nutze auf dieser Seite (erstaunlicherweise) keinen Newsletter-Anbieter wie Mailchimp. Ich hab dafür das Plugin „Email Subscribers & Newsletters„, welches die Abonnenten automatisch über neue Blog-Artikel informiert. Das macht es datenschutzmäßig um einiges einfacher: Daten werden nur bei mir auf der Website gespeichert und werden somit nicht an Dritte weitergegeben. Double-Opt-In ist seit Jahren Standard, daher ist damit alles gut. Einen Absatz zur Datenschutzerklärung hab ich hinzugefügt und diese auch noch mal in der Double-Opt-In-Mail verlinkt.

Darüber ob nun eine Checkbox gesetzt werden muss oder nicht, herrschen ja unterschiedlichste Meinungen im Netz. Ich wollte es ursprünglich machen. Dafür installier(t)e ich das GDPR-Plugin von Trew Knowledge, welches automatisch eine Checkbox hinzufügt. Zum Glück kam dann doch noch am 24.5. das Update, dass ich deren Cookie-Hinweis abstellen kann (vorher wäre ich gezwungen gewesen, deren Cookie-Hinweis zu nutzen). Aber nachdem ich DIESEN Podcast gehört habe, wirkte es auf mich so, als wäre es besser KEINE Checkbox zu haben. Deshalb hab ich keine. Auch eRecht24 ist dieser Meinung:

Server-Log-Dateien

Mein Lieblingsprovider ist All-Inkl. Bei denen bin ich seit Jahren und ich freue mich, dass sie es uns (im Zuge der DSGVO?) so leicht machen, das Speichern von Daten (Server-Log-Files für Statistiken usw.) abzustellen. Damit speichern meine Seite nun noch weniger Daten der Nutzer.

Avada Theme

In diesem Blog hier nutze ich im Zuge der Umstellung ja das Theme „Authority“ von StudioPress. Die meisten Internetseiten die ich erstelle, setze ich allerdings mit Avada um. Da läuft es teilweise etwas anders. Daher möchte ich hier ein paar Dinge zu Avada im Zuge der neuen DSGVO sagen:

Privatsphäre-Einstellungen

Avada bringt nun die Möglichkeit mit, die Google-Schriften auf den Server zu speichern anstatt sie immer vom Nutzer über den Google-Server zu ziehen. Denn die Google-Fonts klassisch über den Google-Server zu nutzen ist auch ein kritischer Punkt, da hier Daten übertragen werden. Damit hat man das Problem schon mal gelöst.

Zusätzlich liefert Avada die Möglichkeit, eingebettete Elemente wie YouTube-Videos erstmal zu blockieren. Der Nutzer muss dann erstmal draufklicken um diese zu laden. Da eingebettet YouTube-Videos ja auch bereits Daten übertragen, auch wenn man sie nicht abspielt, ist dieses Problem auch gelöst:

Kommentare

Hat man WordPress und Avada das aktuelle Update verpasst, erscheint in den Kommentaren auch der Cookie-Opt-In-Hinweis. Leider lässt sich der Datenschutz-Hinweis nicht so hinzufügen, wie ich es oben – mit Loco Translate – beschrieben habe. Daher hab ich einen Code zur functions.php hinzugefügt, der den Opt-In-Hinweis ergänzt:

Den Code hab ich mir von DIESER SEITE kopiert und abgeändert. Dort findet man sonst auch noch mehr Infos zum Ändern des Textes.

WooCommerce

In den meisten Fällen wird WooCommerce ja in Kombination mit „Germanized“ genutzt. Dort hat man die Möglichkeit den Hinweis zu den AGB und dem Widerrufsrecht um die Datenschutzerklärung zu ergänzen.

DSGVO WordPress Checkliste

Hier mal meine kleine persönliche Checkliste:

[] Plugins checken
[] Neue Datenschutzerklärung
[] Cookies erst nach Bestätigung laden
[] Cookie-Einstellung widerrufen können
[] Opt-Out für Google
[] GA anonymisieren
[] Einbettungen (YouTube) blockieren
[] Google-Fonts lokal laden/deaktiveren
[] Datenschutzhinweis in Kommentar- und Kontakt-Formulare
[] Sharing-Buttons ohne Datenübertragung
[] WooCommerce Datenschutz-Hinweis

---

DIE NACHAHMUNG GARANTIERT NATÜRLICH NICHT, DASS DU VOLLSTÄNDIG DIE DSGVO EINHÄLTST. BITTE KONTAKTIERE EINEN DSGVO-BERATER ODER EINEN RECHTSANWALT DAMIT DIESER NOTWENDIGE MASSNAHMEN BEURTEILEN KANN.

---

Mein Angebot

Wenn Du noch dabei bist, Deine WordPress-Seite DSGVO-Fit zu machen, hoffe ich, dass ich Dir hiermit ein bisschen helfen konnte. Wenn noch Punkte etwas unklar sind oder ich sie genauer ausführen soll, schreib mir gerne über die Kommentar-Funktion.

Da ich Selbstständig bin und bereits zich Internetseiten umgesetzt habe und aktuell natürlich viele Internetseiten anpasse, kann ich auch Dir ein konkretes Angebot machen, falls Dir das alles zu kompliziert ist. Wenn Du eine „einfache“ WordPress-Seite mit einer überschaubaren Anzahl an Plugins und keinen außergewöhnlichen Funktionen hast (so wie dieser Blog hier) und Du alle Updates gemacht hast, kann ich Dir anbieten genau diese Umsetzungen, die ich hier gemacht habe, auch auf Deiner Seite zu machen. Also ganz konkret:

• Cookie-Hinweis über Borlabs Cookie oder Cookie Notice und sämtliche Scripte (speziell Google Analytics und Facebook-Pixel) so platzieren, dass sie erst nach Bestätigung des Nutzers geladen werden und diese Einstellung auch zurückgesetzt werden kann.
• Google-Opt-Out in der Datenschutzerklärung platzieren.
• YouTube-Einbettungen blockieren.
• Google-Fonts deaktivieren (oder, wenn einfach möglich, lokal laden).
• Kontaktformulare die über „Contact Form 7“ umgesetzt sind, um den Datenschutz-Hinweis ergänzen.
• Die Kommentarfunktion um den Datenschutz-Hinweis ergänzen.
• DSGVO-Konforme Social-Sharing-Buttons installieren.
• Datenschutzerklärung und Impressum über den Generator von eRecht24 erstellen.

In diesen Schritten hab ich eine gewisse Routine und brauche ca. eine Stunde. Daher kann ich diese Umsetzung für 120 € plus MwSt. anbieten. Jegliche Abweichungen durch unerwartete Plugins, Themes, Anpassungen, Server-Probleme usw. können Mehraufwand bedeuten und müssen – nach vorheriger Absprache – entsprechend abgerechnet werden. Ich kann leider NICHT alle Plugins Deiner Seite durchgehen und sie DSGVO-Konform machen. Aber ich kann meine Meinung zu dem einen oder anderen abgeben.

Ich kann natürlich NICHT garantieren, dass Du damit die DSGVO vollständig ein hältst und auch keine Rechtsberatung leisten. Bitte kontaktiere daher einen DSGVO-Berater oder einen Rechtsanwalt, damit dieser notwendige Maßnahmen beurteilen kann.

Wenn dies für Dich irgendwie interessant ist, kannst Du mich gerne hier buchen:

WordPress: Technische DSGVO-Umsetzung

Liebe Grüße

Arne