Die bekannten DSGVO-Probleme in WordPress hat inzwischen mutma\u00dflich jeder Blogger unter Kontrolle: Daten von Newsletter-Abonnenten, Social-Media-Buttons, Einbindung von Youtube-Videos, Google Fonts, Google Maps und datenhungrige Plugins. Aber wie steht es mit den vielen, kleinen Fallen, die sich in WordPress, Themes und Plugins verstecken?<\/p>\n\n\n\n
Wichtiger Hinweis:<\/strong> Dieser Workshop ist keine Rechtsberatung. Wir weisen auf m\u00f6gliche Probleme hin und geben technische Tipps zur Vermeidung. Juristisch beurteilen wir die beschriebenen Aspekte damit ausdr\u00fccklich nicht.<\/p>\n\n\n\n Ob Daten an Dritte \u00fcbertragen werden, kannst Du recht einfach pr\u00fcfen. Es gilt herauszufinden, ob Dein WordPress-Blog \u00fcber den Browser der User Daten von fremden Servern l\u00e4dt, also beispielsweise Bilder, Audio, Video, Fonts, Icons, Javascript oder Anzeigenbanner. Denn dabei wird unweigerlich zumindest auch die IP-Adresse des Users \u00fcbermittelt, m\u00f6glicherweise sogar weitere pers\u00f6nliche Daten wie Cookies oder Browserprofile.<\/p>\n\n\n\n Der Pingdom Website Speed Test<\/a> ist, wie der Name schon sagt, eigentlich zum Testen der Website-Geschwindigkeit gedacht. Du kannst das kostenlose Online-Tool aber auch nutzen, um Daten\u00fcbertragungen an fremde Server aufzusp\u00fcren.<\/p>\n\n\n\n Dazu testest Du mit dem Tool eine typische Seite Deines Blogs und suchst dann in den Ergebnissen den Punkt File requests<\/em>. Dort listet Pingdom alle Elemente der Webseite auf, die \u00fcber den Browser geladen wurden. Die meisten URLs, die hier auftauchen, beinhalten also Deine eigene Domain. Was Du suchst, sind fremde URLs in der Liste.<\/p>\n\n\n\n Im Beispiel tauchen hier neben der eigenen Domain (bloggertricks.de)<\/em> die Server 0.gravatar.com, fonts.gstatic.com <\/em>und fonts.googleapis.com<\/em> auf.<\/p>\n\n\n\n Etwas schwieriger kann es sich gestalten, die entdeckten\nURLs dem Theme beziehungsweise einem bestimmten Plugin als Verursacher\nzuzuordnen. Da ist Sp\u00fcrsinn gefragt.<\/p>\n\n\n\n Im Beispiel ist es relativ einfach: Bei fonts.gstatic.com <\/em>und fonts.googleapis.com\n<\/em>ist klar, dass Du irgendwo Google Fonts eingebunden hast.Die URL offenbart hier auch, dass es\nsich um die Schriftart \u201eMerriweather\u201c handelt. Mit hoher Wahrscheinlichkeit\nbenutzt das Theme diese Schrift.<\/p>\n\n\n\n Auch gravatar.com<\/em>\nl\u00e4sst sich einfach zuordnen: Von dort l\u00e4dt WordPress die Foto-Thumbnails der\nUser, die bei Beitr\u00e4gen einen Kommentar hinterlassen haben \u2013 sofern diese\nOption in WordPress unter Einstellungen \u2013\nDiskussion \u2013 Avatare<\/em> aktiviert ist. Entsprechend einfach kannst Du dieses\nProblem auch l\u00f6sen, indem Du die Funktion dort deaktivierst.<\/p>\n\n\n\n Findest Du Daten\u00fcbertragungen zu fremden Servern, musst Du das nicht zwangsl\u00e4ufig verhindern. Es bedeutet aber, dass Du Dich datenschutzrechtlich damit auseinandersetzen musst \u2013 also je nach Situation die \u00dcbertragung verhindern, geeignete Passagen in Deine Datenschutzerkl\u00e4rung einf\u00fcgen oder explizit die Zustimmung der User einholen solltest.<\/p>\n\n\n\n Den Test solltest Du nun auf weiteren Seiten wiederholen.\nDenn Plugins sind m\u00f6glicherweise nicht auf jeder Seite aktiv, Widgets werden\nvielleicht nur auf bestimmten Seiten angezeigt, Pages und Posts haben\nunterschiedliche Design-Elemente und die Homepage ist ohnehin meist noch einmal\nganz anders aufgebaut. Ein FAQ-Plugin beispielsweise wird nur auf einer\nFAQ-Seite relevant sein, ein Kontaktformular m\u00f6glicherweise nur auf der\nKontakt-Seite Deines Blog.<\/p>\n\n\n\n Tipp: Denke auch daran, die Checks neu durchzuf\u00fchren, wenn Du an Deiner WordPress-Installation etwas ver\u00e4nderst. Das ist vor allem nach der Installation eines neuen Plugins ratsam. Sicherheitshalber solltest Du die Tests auch in regelm\u00e4\u00dfigen Abst\u00e4nden komplett neu durchf\u00fchren. Denn Du kannst Dir nie ganz sicher sein, dass eine neue WordPress-, Plugin- oder Theme-Version nicht auch unbemerkt neue Probleme mit sich bringt.<\/p>\n\n\n\n Erstaunlicherweise macht auch WordPress selbst an ein paar Stellen Datenschutz-Probleme, auf die Du achten solltest \u2013 auch wenn WordPress vorgibt, DSGVO-konform zu sein.<\/p>\n\n\n\n Emoticons<\/strong>: Seit Version 4.2 sind die Emojis fester Bestandteil von WordPress. Die kleinen Icons werden aber von einem externen Server mit der Domain s.w.org<\/em> geladen. Unterbinden kannst Du das mit dem Plugin Disable Emojis<\/a>. Das in seinen Funktionen sehr umfassende Plugin Webcraftic Clearfy<\/a> enth\u00e4lt ebenfalls eine entsprechende Option.<\/p>\n\n\n\n Gravatar-Bilder<\/strong>:. Auch die Thumbnail-Bilder in User-Kommentaren werden von einem externen Server geladen. Die Gravatar-Avatarbilder deaktivierst Du in WordPress \u00fcber Einstellungen \u2013 Diskussion \u2013 Avatare<\/em>.<\/p>\n\n\n\n SSL-Verschl\u00fcsselung<\/strong>: Pers\u00f6nlichen Daten von Usern sollten immer verschl\u00fcsselt \u00fcbertragen werden. Da bereits ein einfaches Kontaktformular beispielsweise den Namen und die E-Mail-Adresse der User \u00fcbermittelt, sollte Dein WordPress-Blog immer \u00fcber SSL-Verschl\u00fcsselung verf\u00fcgen. Aus SEO-Sicht ist SSL ohnehin empfehlenswert, weil Google die sichere Daten\u00fcbertragung als positiven Ranking-Faktor wertet. Wie Du Dein Blog auf SSL umstellst, erf\u00e4hrst Du in den Beitr\u00e4gen Wie Du Deine Website auf SSL umstellst<\/a> und So geht\u2019s: WordPress auf SSL umstellen<\/a>.<\/p>\n\n\n\n Aktuellste WordPress-Version<\/strong>: Schon aus Sicherheitsgr\u00fcnden solltest Du immer die aktuellste WordPress-Version verwenden. Auch unter DSGVO-Aspekten ist das sinnvoll, denn die WordPress-Entwickler verbessern die Software in dieser Hinsicht st\u00e4ndig. Beispielsweise ist erst in neueren Versionen der Link zur Datenschutzerkl\u00e4rung auch auf der Login-Seite des Blogs integriert.<\/p>\n\n\n\n Kommentar-Funktion:<\/strong> In der Kommentar-Funktion<\/a> von WordPress verbergen sich mehrere Aspekte, die f\u00fcr den Datenschutz relevant sind. Welche Aspekte das sind und wie Du technisch damit umgehen kannst, zeigt der zweite Teil des Workshops: \u201eDatenschutz und die Kommentar-Funktion von WordPress\u201c.<\/p>\n\n\n\n WordPress birgt einige versteckte Datenschutz-Probleme, die so mancher Blogger \u00fcbersieht. Zum Gl\u00fcck kannst Du diese DSGVO-Fallen selbst aufsp\u00fcren und beheben.<\/p>\n","protected":false},"author":20,"featured_media":59073,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,490],"tags":[240,14,288,55],"acf":[],"yoast_head":"\nM\u00f6gliche Datenschutz-Probleme aufsp\u00fcren<\/h2>\n\n\n\n
![\"\"](\"https:\/\/strato.de\/blog\/wp-content\/uploads\/2019\/05\/Screenshot_Pingdom.jpg\")
![\"\"](\"https:\/\/strato.de\/blog\/wp-content\/uploads\/2019\/05\/Screenshot_Pingdom_File-Requests.jpg\")
Die gefundenen URLs zu Plugins oder Themes zuordnen<\/h2>\n\n\n\n
Tests wiederholen<\/h2>\n\n\n\n
Versteckte DSGVO-Probleme von WordPress beheben<\/h2>\n\n\n\n
![\"\"](\"https:\/\/strato.de\/blog\/wp-content\/uploads\/2019\/05\/Screenshot_Disable-Emojis.jpg\")
![\"\"](\"https:\/\/strato.de\/blog\/wp-content\/uploads\/2019\/05\/Screenshot_Avatare-anzeigen.jpg\"){kind=avatar}
\u00dcbrigens: Bis zum 31.8.2019 gibt es bei STRATO zu jedem WordPress-Paket eine .blog Domain gratis dazu.<\/h4>\n\n\n\nZu den WordPress-Paketen<\/a>\n","protected":false},"excerpt":{"rendered":"