Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

WordPress-Webseiten DSGVO konform gestalten: Anleitung und Empfehlungen

Veröffentlicht am 9. Februar 2021 von Dr. DSGVO · Zuletzt aktualisiert am 28. Januar 2022
1

Kategorien: Datenschutz, Empfehlungen und WordPress

Mit WordPress können auf komfortable Weise Webseiten erstellt werden. Damit das Ergebnis DSGVO-konform ist, müssen einige Punkte beachtet werden.

Der Beitrag zeigt, worauf bei WordPress-Seiten zu achten ist. Vor allem wichtig sind folgende Punkte:

  • Grundkonfiguration: Muss unbedingt angepasst werden
  • Design Theme: Beeinflusst das Aussehen und Grundfunktionen der Webseite
  • Datenschutzerklärung
  • Link auf die Datenschutzerklärung
  • Formulare und Newsletter
  • Plugins: Nicht alles, was nützlich ist, sollte verwendet werden

DSGVO-konformes Theme wählen

Ein WordPress-Theme steuert das allgemeine Aussehen und die Grundfunktionen der Webseite.

Man sollte unbedingt ein Thema (Design Theme) auswählen, welches entweder keine Drittbibliotheken oder Schriften vom Google Server lädt oder es erlaubt, dass man diese Einbindung durch Konfiguration ausschalten kann.

Ich empfehle, einen Webseiten-Check durchzuführen. Viele schwören auf Webkoll. Ich halte von diesem Tool wenig, weil es unübersichtliche, technisierte Ergebnisse liefert und nicht fachlich motiviert ist. Meiner ersten Einschätzung führt das Tool keine vollständige Analyse von Webseiten durch, sondern liefert nur Teilergebnisse. nach Auf Anfrage nenne ich gerne andere kostenfreie Möglichkeiten.

Mit der sogenannten Entwicklerkonsole von Firefox oder anderen Browsern kann man direkt sehen, ob Dateien von Dritten geladen werden. Dazu Firefox starten und die Taste F12 drücken. Die Entwicklerkonsole geht auf. Dort auf den Karteireiter Netzwerkanalyse gehen. Danach die Webseite aufrufen. Ich empfehle die Sortierung nach dem Hostnamen. Dazu auf gleichnamige Spalte klicken. Ein typisches Ergebnis sieht so aus:

Schnelle Netzwerkanalyse der deutschsprachigen Webseite von usercentrics.com

Alle blau markierten Einträge sind kritisch. Hier hält sich der Seitenbetreiber meiner eindeutigen Auffasung nach nicht an Datetenschutzregeln, weil der Abruf der Datei api.js von google.com ohne Einwilligung stattfindet und beim Dateiabruf zahlreiche nichtfunktionale Cookies übertragen werden.

Wer sich mit der WordPress-Programmierung etwas auskennt und ein wenig Zeit übrig hat, kann kritische Ladevorgänge im Theme selber deaktivieren. Dafür in den Theme Editor gehen und nach den geladenen Tools suchen:

Theme-Editor in WordPress

Danach kann jede Datei des Themes angesehen werden. Hier wird nur der technikaffine Datenschützer zum Ziel kommen.

Datenschutzerklärung erstellen

Selbstverständlich muss eine Datenschutzerklärung erstellt oder angepasst werden. Wenn man alles richtig macht, muss für WordPress kaum etwas erklärt werden.

WordPress verwendet für gewöhnlich nur Sitzungs-Cookies, sofern ein Nutzer sich nicht anmeldet. Diese müssen wahrscheinlich nicht deklariert werden. Wer es dennoch tun will, kann sich gerne meine Datenschutzerklärung ansehen.

Datenschutzerklärung verknüpfen

Im Menü Einstellungen -> Diskussion die Seite mit der Datenschutzerklärung verknüpfen:

Der Effekt hiervon ist, dass auf der WordPress-Loginseite für Administratoren und Redakteure der Link auf die Datenschutzhinweise automatisch eingebaut wird. Nur der Link auf das Impressum fehlt dann dort noch. Darum muss sich der talentierte Programmierer oder Webmaster selber kümmern…

Folgenden Code in der functions.php Datei des aktuellen Themes einfügen, um die wichtigen Verlinkungen auf der WordPres-Loginseite zu haben.

add_action('login_footer', 'dr_dsgvo_addition_to_login_footer');
 function dr_dsgvo_addition_to_login_footer() {
   echo '<a href="/impressum/">Impressum</a> | <a href="/datenschutz/">Datenschutzerklärung</a>';
 }

Die Links müssen natürlich angepasst werden! Man sollte sie nach Einbau unbedingt prüfen. Entscheidet man sich für diesen Weg über den Code, dann sollte man die zuvor genannnte Verknüfung zur Seite mit der Datenschutzerklärung nicht vornehmen.

Datenschutzerklärung und Impressum verlinken

Auf jeder beliebigen Seite der Webseite müssen diese wichtigen Links vorhanden sein.

Die Links müssen auf jeder Seite und auf jedem Endgerät mit maximal zwei Klicks erreichbar sein. Dies gilt auch, wenn auf dem Smartphone ein sogenanntes Hamburger-Menü (drei hoizontal Striche) vorhanden ist.

Außerdem dürfen die Verlinkungen nicht durch Popups überdeckt werden.

Avatare deaktivieren

Im Menü Einstellungen -> Diskussion unbedingt die Avatare deaktivieren:

Sind Avatare aktiviert, wird der Gravatar-Tracker geladen, der einer Einwilligung bedürfte, die aber nicht abgefragt werden kann. In einem Spiegel-Artikel wurden Datenschutzprobleme in Verbindung mit Gravatar beschrieben.

Kommentare konfigurieren

Im WordPress-Dashboard im Menü Einstellungen -> Diskussion die weiteren Kommentareinstellungen wie folgt deaktivieren:

Datenschutzfreundliche Konfiguration von Kommentaren in WordPress

Das dritte Kästchen muss nicht deaktiviert werden. Für den Screenshot ging es nicht anders.

WP Ajaxify Comments

Im WordPress-Standard wird bei fehlerhaften Formulareingaben eine neue seite angezeigt. Auf dieser Seite fehlt der Link auf die Datenschutzerklärung. der Komfort lässt ebenso zu wünschen übrig. Daher empfehle ich dringend den Einsatz des Plugins WP Ajaxify Comments.

Das Plugin zeigt Fehlermeldungen direkt auf der Seite an, so wie es im WordPress-Standard eigentlich sein sollte.

SSL-Zertifikat

Dies ist kein WordPress Thema, spielt aber immer eine Rolle, wenn es ein Kontaktformular, einen Newsletter oder ein Kommentarfeld gibt. Dann nämlich sollte ein SSL-Zertifikat genutzt werden, so dass die Webseite in gesicherter Verbindung über https erreichbar ist. Ein solches Zertifikat kann man bei seinem Provider bestellen. Gute Provider bieten solche Zertifikate kostenfrei an, beispielsweise ALL-INKL.

Auch darauf achten, dass eine Weiterleitung von http nach https eingerichtet wird. Ebenso sollte die Umleitung von https://xyz.de nach https://www.xyz.de funktionieren (oder umgekehrt, je nachdem, was die Hauptdomäne der Webseite ist.

Administratorseite schützen

Nicht unbedingt notwendig, aber wegen des § 25 TTDSG empfehlenswert, ist das Schützen der Login-Seite von WordPress gegen unberechtigte Aufrufe. Hintergrund ist, dass beim Aufruf der Seite irgendeine-webseite4711.de/wp-admin ein Cookie namens wordpress_test_cookie gesetzt wird.

Ich empfehle daher, den Aufruf dieser Seite mit einem serverseitigen Passwort zu schützen. Das geht entweder durch Erstellen einer .htaccess-Datei im Verzeichnis wp-admin Ihrer WordPress Installation über einen FTP-Zugriff. Oder, Sie verwenden das WordPress-Plugin namens htaccess protect. Im Plugin nach Akrtivierung in den dortigen Einstellungen dann einen neuen User anlegen und die folgenden Optionen aktivieren:

Zugriff auf Ameldeseite mit einem Passwort versehen.

Immer, wenn Sie nun Ihre Anmeldeseite aufrufen, werden Sie über ein Popup nach Benutzername und Passwort gefragt. Erst nach richtiger Eingabe der Zugangsdaten erscheint die WordPress-Anmeldemaske.

Newsletter

Das Wichtigste in Kürze hier, mehr zu DSGVO-konformen Newslettern in einem eigenen Artikel.

  • Registrieren-Formular: Nur die nötigsten Daten abfragen, weitere Daten optional gestalten. Datenschutzhinweise erwähnen und verlinken. Eine Bestätigung der Datenschutzerklärung ist nicht unbedingt erforderlich, zumal man diese in die Opt-In Mail packen kann.
  • Double Opt-In: Mailadresse bestätigen lassen. In der Bestätigungsmail oder vorher auf das Widerrufsrecht hinweisen, also dass man sich vom Newsletter wieder abmelden kann und wie. Zur Bestätigung die IP-Adresse des Abonnenten speichern und nur verwenden, falls jemand behauptet, er oder sie habe sich nicht angemeldet. In der Bestägungsmail die Datenschutzhinweise erwähnen und schreiben, dass sie mit der Registrierung akzeptiert werden.
  • Opt-Out: Abmelden-Link in jeder Newsletter-Mail; Alternativ: Alle müssen sich per ordinärer Mail anmelden und können sich ebenso wieder abmelden.
  • Datenschutzerklärung: Den Prozess kurz erklären
  • Newsletter-Mails: Impressum sowie Link auf Datenschutzerklärung einfügen
  • Spezialseiten: Sollte der Newsletter Spezialseiten haben, etwa eine Bestätigung der Abmeldung vom Newsletter, unbedingt darauf achten, dass die Links auf Impressum und Datenschutzerklärung auf der Seite vorhanden sind.

Impressum

Die allgemeinen und die rechtformspezifischen Pflichtangaben müssen wie auf jeder anderen Webseite vorhanden sein. Die Impressumspflicht gilt wegen redaktioneller Inhalte auch für die meisten nichtkommerziellen Webseiten.

Weitere Infos hierzu zur den Pflichtangaben und zu Emails und Newslettern sind in einem eigenen Artikel zusammengefasst.

Benachrichtungsmails bei Pingbacks deaktivieren

Ein Pingback ist eine Verlinkung von einer anderen Webseite auf die eigene WordPress-Seite bzw. ein Ping über die sogenannte XML-RPC-Schnittstelle. WordPress verschickt allerdings auch für interne Verlinkungen eine Benachritigungs-Mail. Der leidgeplagte Admin erhält also immer eine Mail, wenn er von einem Beitrag auf einen bereits veröffentlichten, eigenen Beitrag verlinkt.

Diese Mails nerven nicht nur, sie lassen sich mit Standardmitteln anscheinend nicht abschalten. Mit folgendem Code, der in functions.php des genutzten WordPress-Theme einzufügen ist, kommen keine solcgen nerviven Mails mehr:

function drdsgvo_no_self_ping( &$links ) {
     $home = get_option( 'home' );
     foreach ( $links as $l => $link )
         if ( 0 === strpos( $link, $home ) )
             unset($links[$l]);
 }
 add_action( 'pre_ping', 'drdsgvo_no_self_ping' );

Dieen Code habe ich einem Artikel von Jonas entnommen. Er hat nun die Chance, auch ein Pingback von meiner Seite zu bekommen…

Tools & Plugins

Individuell genutzte Tools und WordPress-Plugins müssen natürlich gesondert betrachtet werden. Hier ist insbesondere zu berücksichtigen:

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/wordpress-webseiten-dsgvo-konform-gestalten
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Dieser Beitrag wird in anderen Beiträgen erwähnt

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

OneTrust: Consent Tool mit großen Tücken