DSGVO-Checkliste: WordPress datenschutzkonform einsetzen
Seite 4: Gesprächige Google-Tools
Google Analytics
Webmaster schätzen Googles kostenloses Analyse-Tool. Vergleichbare Lösungen bieten entweder deutlich weniger Funktionen, sprengen das Budget von KMUs und Bloggern oder erfordern umfangreiches Expertenwissen. Man kann Google Analytics DSGVO-konform einsetzen, muss jedoch einige Punkte beachten. Wirklich neu sind diese allerdings nicht. Sie waren bereits vor Inkrafttreten der DSGVO Pflicht.
So müssen IP-Adressen vor der Übertragung auf Googles Server anonymisiert werden, erweiterte Tracking-Funktionen dürfen nicht genutzt werden und der Webmaster muss einen Datenverarbeitungsvertrag mit Google abschließen. Auch muss dem Besucher eine Opt-out-Möglichkeit angeboten werden. Das geschieht wahlweise per Cookie oder mittels Browsererweiterungen. Die Hinweise darauf gehören in die Datenschutzerklärung, für die technische Umsetzung empfiehlt sich das Plug-in GA Opt-Out.
Google Fonts
Die meisten modernen WordPressThemes binden Googles frei verfügbare Webfonts und Maps ein. Beim Aufruf der betreffenden Seiten wird die IP-Adresse an Googles Server weitergeleitet. Ob man bei der Einbindung dieser Dienste „berechtigtes Interesse“ anführen kann, bleibt unter Juristen umstritten. Wer Googles Maps oder Fonts in seine Seiten einbindet, sollte auf jeden Fall seine Datenschutzerklärung um entsprechende Abschnitte ergänzen.
Zumindest die Fonts lassen sich alternativ auch auf dem eigenen Server ablegen. Das Vorgehen unterscheidet sich dabei je nach Theme. Das populäre Enfold Framework etwa bietet seit Mitte Mai die Möglichkeit, die gewünschten Schriftarten direkt über die Theme-Optionen hochzuladen. Bei anderen Themes sind häufig händische Anpassungen am Style - sheet erforderlich. Eine dritte Option ist eine Deaktivierung der Google-Fonts über das bereits genannte Plug-in Clearfy. Allerdings bleibt dann die Typografie der eigenen Website auf die wenigen Fallback-Standardschriften beschränkt.
Google Maps
Bei Google Maps untersagen Googles AGB leider das lokale Hosting eines Screenshots. Als Alternativen bieten sich entweder die Lizenzierung von einem Fachverlag oder der Rückgriff auf das kostenlose OpenStreetMap an.
YouTube, SlideShare, SoundCloud und Co.
Auch bei der Einbindung von Drittinhalten, also Videos, Audio-Dateien, Slide Share-Präsentationen und anderen Embeds, sollten Webmaster Vorsicht walten lassen. Was immer an Inhalten von Drittservern geladen wird, birgt ein DSGVO-Risiko.
Videos könnte man gegebenenfalls selbst hosten, Tweets ließen sich auch als Screenshots einbinden – aber so richtig elegant ist das alles nicht. In der Praxis haben sich zwei Vorgangsweisen herauskristallisiert: Vorsichtige Webseitenbetreiber verwenden ein Opt-in-Plug-in, das vor dem Laden der Inhalte auf die Datenübertragung hinweist und die Zustimmung des Nutzers einholt. Beispielsweise Borlabs Cookie bietet für dieses Opt-in eine entsprechende iFrame-Container-Funktion.
Risikofreudigere Naturen binden Drittinhalte ein wie bisher und argumentieren in ihrer Datenschutzerklärung mit „berechtigtem Interesse“. Wer regelmäßig Tweets, Instagram- und Facebook-Postings einbindet, kann alternativ auch auf Plug-ins mit integriertem Caching zurückgreifen.
Webhoster und Plug-ins
Wer seine WordPress-Seite auf einem Shared Hosting Space oder einem Managed Server betreibt, wird in der Regel eine Datenverarbeitungsvereinbarung mit seinem Hoster benötigen – denn der hat ja zumindest theoretisch Zugriff auf die Serverlogs samt gespeicherten IP-Adressen. Alle großen Provider bieten in ihrer Verwaltungsoberfläche mittlerweile solche DVVs an. Je nach Serverkonfiguration achten penible Webmaster darauf, die Serverlogs entweder ganz zu deaktivieren (nicht optimal für Fehlersuche und Monitoring), sie regelmäßig zu anonymisieren oder sie nach einer bestimmten Zeit automatisch zu löschen.
Ob ein Plug-in möglicherweise einen GDPR-Verstoß verursacht, lässt sich von außen gar nicht so leicht beurteilen. Bei Social-Sharing-Buttons kommt es ganz darauf an, wie die Programmierer die jeweiligen Funktionen umgesetzt haben: Greift ein Plug-in bereits beim Aufruf der Seite auf die APIs von Facebook und Co. zu, etwa um in Echtzeit Counter anzuzeigen, müsste der Nutzer eigentlich vorher zustimmen. In vielen Fällen lassen sich solche Funktionen auch auf datensparsameren Wegen umsetzen. So steht mit dem "Shariff Wrapper", einem Nachfolgeprojekt des von der c’t entwickelten Plug-ins Shariff, eine hundertprozentig DSGVO-konforme und sehr flexibel konfigurierbare Sharing-Lösung zur Verfügung.
Notwendiger Abgleich
In manchen Fällen ist es prinzipbedingt schlicht unmöglich, ganz auf die Datenübertragung zum Anbieter zu verzichten. So erkennt das populäre Sicherheits-Plug-in Wordfence IP-Floods und andere Angriffe durch den Abgleich von IP-Adressen mit hauseigenen Blacklists. Wordfence hat jedoch wie die meisten großen Anbieter ein umfangreiches GDPR-Portal aufgebaut und bietet auch Nutzern der kostenlosen Version den Abschluss eines Datenverarbeitungsvertrags an. Die Abwägung zwischen Datensparsamkeit und berechtigtem Interesse obliegt also kurz gesagt letztendlich in jedem einzelnen Fall dem Webmaster selbst. Dem Argument des sicheren und ungestörten Betriebs einer Webseite wird aber voraussichtlich kein Richter widersprechen.
stellen Datenverarbeitungsverträge zur Verfügung (hier: MailChimp)
Auch andere große Anbieter wie Mailchimp haben sich auf die neuen Datenschutz-Spielregeln der EU vorbereitet. Generell gilt beim Einsatz von Formularen und Formular-Plug-ins, dass eine Zustimmung zur Datenspeicherung via standardmäßig deaktivierter Checkbox eingeholt werden sollte. Dabei sind unterschiedliche Szenarien möglich: Je nach Konfiguration schicken Formular-Plug-ins die Nutzerdaten per E-Mail an den Admin, sodass sie auf dessen Mailserver gespeichert werden, oder sie landen in der WordPress-Datenbank. Das Vorgehen muss in der DSE beschrieben und erklärt werden. Im Zweifelsfall hilft ein Blick in Blogmojos laufend aktualisierte Liste zur DSGVO-Kompatibilität von über 200 populären WordPress-Plug-ins.
Kein "one tool to rule them all"
Parallel zu den Bemühungen des CoreTeams haben auch verschiedene Entwickler GDPR-Plug-ins auf den Markt gebracht, die teils den irreführenden Eindruck erwecken, mit nur einem Klick alle Probleme zu lösen. Seit dem letzten WordPress-Update können diese Erweiterungen sogar kontraproduktiv sein und Funktionen, die WordPress ohnehin enthält, unnötig verdoppeln. Empfehlenswert sind das Plug-in GDPR und Co. vor allem für umfangreiche Membership-Seiten.
Cookie-Hinweis erforderlich oder nicht?
Der sogenannte "Cookie-Hinweis" wird gern mit den erwähnten DSGVO-Maßnahmen in einen Topf geworfen. Tatsächlich handelt sich dabei um eine gänzlich andere Baustelle. Deutschland hat die Cookie-Richtlinie der EU nie in nationales Recht umgesetzt. Hierzulande gilt nach wie vor § 15 Abs. 3 des Telemediengesetzes. Dieses fordert, den Nutzer ausreichend zu unterrichten und auf sein Widerspruchsrecht hinzuweisen. Beides kann durch einen Cookie-Hinweis erfolgen, rechtlich erforderlich ist dieser zurzeit aber nicht. Das ändert sich voraussichtlich erst mit der ePrivacy-Richtlinie im kommenden Jahr. Sie verlangt ein explizites Opt-in des Webseitenbesuchers vor dem Setzen von Cookies.
Anders verhält es sich mit dem Einsatz sogenannter Retargeting-Systeme: Wer das Facebook-Pixel oder RetargetingCookies von AdSense und Co. verwendet, die IP-Adressen übertragen und speichern, ist mit einem expliziten Opt-in, wie es zum Beispiel Borlabs Cookie anbietet, auf der sicheren Seite.
