WordPress DSGVO-konform nutzen

WordPress als Nutzer DSGVO-konform betreiben

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(20 Bewertungen, 4.35 von 5)

Das Wichtigste in Kürze

  • WordPress ist das mit Abstand beliebteste Content-Management-System und bietet zahlreiche Möglichkeiten zur Einbindung von Drittanbieter-Diensten und Plugins.
  • WordPress bringt von Haus aus einige Funktionen mit, welche nicht immer DSGVO-konform sind.
  • Mit Hilfe von sogenannten DSGVO-Plugins lässt sich WordPress rechtssicher betreiben.

Worum geht's?

WordPress ist nicht nur kostenlos, sondern zählt als Content-Management-System zum beliebtesten auf der Welt. So werden hiermit nicht nur kleine Blogs betrieben, sondern auch Firmen-Websites, Magazine sowie Online-Shops. Um das CMS DSGVO-konform einzurichten sind einige wenige Handgriffe notwendig, welche sich mit Hilfe zusätzlicher DSGVO-Plugins in nur wenigen Schritten umsetzen lassen.

 

WordPress.org zählt mit Abstand zu einem der beliebtesten Content-Management-Systeme auf dem Markt. In den letzten Jahrzehnten hat sich das CMS vom einfachen Blog-System zu einer umfangreichen Plattform für das Betreiben von Websites, Online Business und auch Magazinen entwickelt.

Es ist nicht nur kinderleicht einzurichten, sondern bietet darüber hinaus zahlreiche Funktionen und Plugins, über die WordPress auf jede beliebige Art und Weise erweitert werden kann. Doch müssen Sie dabei als WordPress-Nutzer natürlich auch immer die Datenschutzgrundverordnung (DSGVO) im Blick haben.

Wir möchten Ihnen in diesem Artikel zeigen, worauf Sie als WordPress-Nutzer besonders achten müssen und wie Sie die im Artikel angesprochen Thematiken in wenigen Schritten so umsetzen, dass sie der DSGVO entsprechen.

Übrigens finden Sie in unserem Artikel “DSGVO WordPress Tools Plugins” eine hilfreiche Übersicht über viele beliebte Plugins und auch darüber, ob sie konform der Datenschutz-Grundverordnung einsetzbar sind.

1. WordPress DSGVO-konform nutzen

Alles beginnt bei WordPress.org mit der Installation auf einem Server, bei Ihrem Hosting-Anbieter Ihrer Wahl. Bereits hier ist natürlich aus DSGVO-Sicht zu empfehlen, einen Hoster auszuwählen, welcher seine Server in Deutschland bzw. innerhalb der Europäischen Union stehen hat.

Checkliste
Einige empfehlenswerte Hoster für WordPress mit Serverstandort DE / EU sind:
  • All-Inkl

  • Raidboxes

  • Mittwald

  • Alfahosting

  • Hetzner

  • DomainFactory

 

Bei allen dieser Anbieter können Sie im Backend zudem einen Auftragsverarbeitungsvertrag abschließen, welcher für die DSGVO in jedem Fall abgeschlossen werden sollte. Was ein Auftragsverarbeitungsvertrag im Detail ist und wieso Sie diesen abschließen müssen, haben wir Ihnen in diesem Artikel ausführlich erläutert.

Nachdem Sie WordPress erfolgreich installiert haben, sollten Sie sich zu aller erst um die Kommentar-Funktion kümmern. Vorausgesetzt natürlich, diese nutzen Sie in Zukunft.

2. Die Kommentar-Funktion in WordPress

Wenn Sie WordPress als Content-Management-System nutzen, ist davon auszugehen, dass Sie mit großer Wahrscheinlichkeit auch die Kommentar-Funktion verwenden werden. Schließlich handelt es sich bei diesem CMS, um eine der beliebtesten Blog-Systeme auf dem Markt. Und was wäre ein WordPress-Blog ohne Feedback der Leser?

2.1. Kommentar ist gleich Speicherung personenbezogener Daten

Wie Sie sich sicher bereits denken können, werden mit der Abgabe eines Kommentars durch den Website-Besucher, personenbezogene Daten gespeichert. Neben dem eigentlichen Kommentar kann bzw. muss der Nutzer seinen Namen, seine Adresse für E-Mails und ggf. seine Website-URL angeben. Das hängt ganz davon ab, welche Daten Sie als Webseitenbetreiber über das Kommentar-Formular abfragen.

Mit Angabe dieser personenbezogenen Daten müssen Sie dem Nutzer eine Möglichkeit geben, der Speicherung dieser, zustimmen zu können.

Sören Siebert
Sören SiebertRechtsanwalt

Hierfür gibt es in WordPress ein sehr hilfreiches Plugin. Mit Hilfe des Plugins WP GDPR Compliance können Sie solch ein Einwilligungsfeld ganz einfach innerhalb des Kommentar-Formulars hinzufügen.

 Screenshot Kommentar verfassen

2.2. WP GDPR Compliance

Nach der Installation und dem Aktivieren des WP GDPR Compliance Plugins finden Sie dieses im WordPress-Menü unter Werkzeuge > WP GDPR Compliance.

Unter der Registerkarte “Einbindungen” finden Sie den Punkt “WordPress-Kommentare”.

 Screenshot Contact Form 7 Einbindungen

Hier können Webseitenbetreiber den Text, welcher Ihren Nutzern ausgegeben werden soll ganz individuell anpassen. Zudem müssen Sie den Regler auf “Aktivieren” stellen und natürlich im Anschluss ebenfalls die Einstellungen speichern.

2.3. Die IP-Adresse bei Abgabe eines Kommentars

Füllt ein Website-Besucher die Kommentar-Felder aus und sendet den Kommentar ab, wird automatisch die IP-Adresse des Nutzers in WordPress gespeichert. Vorab sei gesagt, dass die Übermittlung der IP-Adresse nichts mit der vorher besprochenen “Einwilligung zur Speicherung von persönlichen Daten” zu tun hat. 

VORSICHT

WordPress speichert die IP-Adressen von Haus aus. Das hat natürlich verschiedene Gründe, die unter anderem auch dabei helfen sollen, Spam-Kommentare zu erkennen und ggf. blocken zu können. Jedoch müssen Sie hier aufpassen! Denn mit der IP-Adresse kann ein Website-Besucher eindeutig identifiziert werden, was selbstverständlich alles andere als DSGVO-konform ist.

Da für die Abgabe eines Kommentars die Speicherung der IP-Adresse innerhalb von WordPress also nicht zwingend notwendig ist, müssen Sie auch hier entsprechende Maßnahmen ergreifen.

Hierfür gibt es aktuell zwei verschiedene Möglichkeiten.

2.3.1. functions.php Datei

Die sicherste Variante, die Sie für das “NICHT”-Speichern der IP-Adresse vornehmen können, ist der functions.php Datei einen entsprechenden Code-Schnipsel hinzufügen.

Diese php-Datei finden Sie direkt auf Ihrem Server (wp-content/themes/functions.php).

 Screenshot functions.php

Innerhalb dieser müssen Sie im Anschluss den folgenden Code hinzufügen:

function wpb_remove_commentsip( $comment_author_ip ) { return ”; add_filter( ‘pre_comment_user_ip’, ‘wpb_remove_commentsip’ );

WICHTIG

Wenn Sie ein Child-Theme in WordPress nutzen, müssen Sie die php-Datei in dessen Ordner bearbeiten.

2.4. Plugin

Alternativ können Sie ein Plugin zum Entfernen der IP-Adressen nutzen. Aktuell bietet sich hierfür das WordPress-Plugin DSGVO Tools: Kommentar-IP entfernen an. Mit diesem Plugin können Sie eine bestimmte Speicherdauer für die IP-Adresse festlegen, jedoch nicht verhindern, dass die IP-Adresse erst gar nicht gespeichert wird.

Das Plugin bietet sich jedoch hervorragend dafür an, bereits gespeicherte IP-Adressen zu entfernen. Haben Sie also bisher unabsichtlich personenbezogene Daten in der Datenbank gespeichert, können Sie diese mit Hilfe des WordPress-Plugins entfernen.

 Screenshot GDPR Tools

 2.5. Avatar

Bei dem Avatar handelt es sich um das Bild, welches neben dem Kommentar des Nutzers platziert wird. Vorausgesetzt natürlich, Sie haben diese Funktion in den WordPress-Einstellungen aktiviert (Einstellungen > Diskussion > Avatare).

 avatare screenshot

Das Problem bei den Avataren ist Folgendes. In der Regel wird für die Platzierung des Avatars der Service gravatar.com genutzt. Bei diesem wird im Anschluss ein Bild hochgeladen und mit einer E-Mail-Adresse verknüpft.

Bedeutet, wenn ein Nutzer ein Kommentar bei Ihnen hinterlässt und seine E-Mail-Adresse einträgt, mit welcher er ebenfalls den eben genannte Service nutzt, wird das entsprechende Avatar bzw. Gravatar automatisch abgerufen und neben dem Kommentar platziert.

 Screenshot Avatar eingebunden

Mit dem Abruf des Avatar wird gleichzeitig die IP-Adresse des Nutzers an den Anbieter gravatar.com übermittelt. Auch wenn es gerade auf Blogs “schöner” ist, wenn solche Nutzer-Avatare zu sehen sind, sind diese mit der Übermittlung der IP-Adresse an den entsprechenden Dienst nicht DSGVO-konform.

Wenn Sie also vermeiden möchten, dass solch ein Avatar ausgegeben wird, sollte ein Nutzer einen Service wie gravatar.com nutzen, müssen Sie die Funktion vollständig deaktivieren.

Website absichern

eRecht24 Premium für Webseitenbetreiber, Dienstleister und kleine Unternehmen

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool & Premium Scanner
  • Live-Webinare und Know-How
Website absichern

2.6. Spam-Schutz für Kommentare

Sollten Sie für die Kommentare auf WordPress einen Spam-Schutz wie z. B. das Plugin Antispam Bee nutzen, müssen Sie gemäß Datenschutz-Grundverordnung sicherstellen, dass Sie hier nur Funktionen aktiv sind, welche keine personenbezogenen Daten speichern oder gar an externe Dienste weiterleiten.

 Screenshot Spam-Schutz

Wenn Sie Antispam Bee in seinen Standard-Einstellungen belassen, können Sie das Plugin bedenkenlos nutzen. Hier werden keinerlei Daten an externe Dienste weitergeleitet. Sollten Sie jedoch noch andere Funktionen nutzen wollen, müssen Sie vorab prüfen, welche Auswirkungen dies haben kann und ob Sie Ihre Website-Besucher entsprechend darauf hinweisen müssen.

2.7. Kommentare abonnieren: Double Opt-In für E-Mails

Sicher kennen Sie die Funktion zum Abonnieren von Kommentaren oder haben diese vielleicht selbst schon einmal auf anderen Webseiten oder in Social Media in Anspruch genommen.

Solch eine Möglichkeit anzubieten kann sehr nützlich sein. Vor allem dann, wenn Nutzer über Antworten oder Kommentare anderer Besucher informiert werden wollen.

 Screenshot Kommentare abonnieren

ABER

Sie müssen hier das sogenannte “Double Opt-In” anbieten - ganz ähnlich wie beim E-Mail Marketing bzw. Newsletterversand. Hat der Nutzer also die Option zum Abonnieren der Kommentare ausgewählt, muss er vorab eine Opt-In E-Mail erhalten, in der er dem Abonnenten explizit zustimmen muss.

Um solch eine Funktion DSGVO-Konform in WordPress nutzen zu können, gibt es das Plugin Subscribe to Double-Opt-In Comments. Nach der Installation und dem Aktivieren finden Sie das Plugin unter Einstellungen > Subscribe to DOI Comments.

Hier haben Sie die Möglichkeit unter anderem einen Absender sowie eine E-Mail-Adresse für die Double Opt-In Mail einzupflegen und natürlich auch, die Texte nach Ihren Wünschen anzupassen.

 Screenshot Subscribe to DOI Comments

Mit der Aktivierung des WordPress-Plugins wird die oben zu sehende Checkbox im Kommentar-Formular bereits aktiv.

3. Kontaktformulare gemäß Datenschutz-Grundverordnung

Wenn Sie auf Ihrer WordPress-Seite Kontaktformulare nutzen, verhält es sich ganz ähnlich wie mit den Kommentaren. Denn auch hier müssen Ihre Website-Besucher in die Speicherung Ihrer Daten zustimmen, bevor das Kontaktformular versendet wird.

PRAXIS-TIPP

Um dies in nur wenigen Schritte möglich zu machen, können Sie das Plugin Contact Form 7 nutzen. Mit diesem können Sie auf einfache Weise Kontaktformulare erstellen und im Zusammenspiel mit dem bereits genannten Plugin WP GDPR Compliance - genau wie im Kommentar-Formular, eine entsprechende Checkbox für die Zustimmung zur Speicherung personenbezogener Daten gemäß DSGVO hinzufügen.

 Screenshot Kontaktformular Checkbox

Um die Checkbox hinzufügen zu können, müssen Sie im WP GDPR Compliance Plugin ganz einfach die Registerkarte “Einbindungen” aufrufen und dort den Regler für “Contact Form 7” aktivieren.

 Screenshot Contact Form 7 DSGVO Tag

Falls Sie mehrere Kontaktformulare nutzen, können Sie hier sogar auswählen, in welchem Formularen die Checkbox ausgegeben werden soll. Natürlich können Sie hier ebenfalls den Text ganz an Ihre Vorstellungen anpassen.

Im Kontaktformular selbst ist außerdem zu empfehlen, auf die Datenschutzerklärung hinzuweisen. Dies können Sie mit einem entsprechenden Code-Snippet in den Formular-Einstellungen von Contact Form 7 einstellen.

 Screenshot Contact Form 7 Code

Zum Kopieren:

<label><strong>Einwilligungserklärung</strong>
(<a href="https://IHRE-DOMAIN/datenschutzerklaerung/" target="_blank">Datenschutzerklärung</a></em>)</label>

Infolgedessen müssen Sie außerdem sicherstellen, dass in Ihrer Datenschutzerklärung ein Hinweis zur Verwendung von Kontaktformularen auf Ihrer Website vorhanden ist. Hierfür können Sie natürlich unseren kostenlosen Datenschutz-Generator nutzen.

4. Drittanbieter-Dienste, Plugins und Services

Vermutlich nutzen Sie in WordPress auch zahlreiche Drittanbieter-Dienste bzw. Services, für welche Sie ebenfalls ein Plugin installiert haben. Zu den Klassikern gehören hier unter anderem Google Analytics, das Facebook-Pixel, der Google Tag Manager und einige mehr.

Bei einer Vielzahl dieser Tools, werden Daten nicht nur innerhalb der EU, sondern auch ins Ausland übermittelt, gespeichert sowie Cookies gesetzt.

Um sicherstellen zu können, dass diese Art von Diensten und Services ebenfalls DSGVO-konform in WordPress genutzt werden, sollten Sie unbedingt ein sogenanntes DSGVO-Plugin nutzen, mit welchem Sie diese Art von Anbietern entsprechend der DSGVO-Richtlinien innerhalb des Content-Management-Systems nutzen können.

Denn nur mit einem solchen DSGVO-Plugin stellen Sie sicher, dass Sie den Website-Besucher über den eingebunden Service informieren und dieser selbst entscheiden kann, ob er diesem zustimmt oder nicht.

Sören Siebert
Sören SiebertRechtsanwalt

Außerdem sollten Sie natürlich unbedingt einen Auftragsverarbeitungsvertrag mit dem entsprechenden Anbieter abgeschlossen haben, soweit dies möglich ist.

Damit Sie ein für Sie richtiges DSGVO Cookie Plugin für Wordpress finden, können Sie einen Blick auf unseren großen Cookie Consent Tool Vergleich werfen.

Grundsätzlich bieten sich auch entsprechende Social-Media-Plugins auf Ihrer WordPress-Webseite an. Beispielsweise können Social Sharing-Buttons die Online-Präsenz verbessern. Zudem werden für WordPress Social-Plugins angeboten, die den sozialen Feed von Facebook oder X (ehemals Twitter) auf Ihrer Seite anzeigen.

Eines der Social-Media-Plugins, welches den Datenschutzbestimmungen entspricht, ist unter anderem Novashare oder MashShare. Ersteres lässt sich beispielsweise auch mit Analyse Tools wie Google Analytics koppeln.

Jetzt Tarife ansehen

eRecht24 buchen und Safe Sharing Tool verwenden

Mit diesem Tool stellen wir Ihnen Erweiterungen für die gängigen Content Management Systeme zur Verfügung. So können Sie datenschutzkonform Inhalte Ihrer Website über die Share Buttons von sozialen Netzwerken teilen.

Jetzt Tarife ansehen

5. Impressum & Datenschutz

Ein ganz essenzieller Punkt, an den Sie als WordPress-Nutzer und natürlich auch als Website-Betreiber denken müssen, ist das Impressum sowie die Datenschutzerklärung.

So können Sie das Impressum sowie die Datenschutzerklärung mit Hilfe unserer Generatoren erstellen:

Jetzt Impressum erstellen

Erstellen Sie jetzt ein rechtssicheres Impressum mit dem eRecht24 Impressum Generator

  • Einfache Integration in Ihre Website
  • Anwaltlich geprüfter Generator
  • Für Sie kostenfrei in wenigen Schritten
Jetzt Impressum erstellen

Wobei die Datenschutzerklärung gerade in Bezug auf die DSGVO ein absolut wichtiger Bestandteil Ihrer WordPress-Seite sein muss. Denn gemäß Datenschutzrecht klären Sie Ihre Besucher nicht nur über die von Ihnen eingebundenen Dienste und Services auf, sondern auch über den Sinn und Zweck für die Speicherung von personenbezogenen Daten.

Jetzt Datenschutzerklärung erstellen

Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator

  • Einfache Integration in Ihre Website
  • Anwaltlich geprüfter Generator
  • Für Sie kostenfrei in wenigen Schritten
Jetzt Datenschutzerklärung erstellen

Als Mitglied von eRecht24 bieten wir Ihnen in unserem Datenschutz-Generator bereits eine Vielzahl von Anbietern an, welche Sie mit nur wenigen Klicks in Ihre Datenschutzerklärung integrieren können.

6. Fazit

WordPress bietet Ihnen als Nutzer zahlreiche Möglichkeiten, um eine Website, einen Online-Shop oder auch Blog betreiben zu können. Das Tolle dabei, auch als Laie können Sie WordPress in nur kurzer Zeit so einrichten, dass das CMS allen Anforderungen der DSGVO entspricht.

Vor der Installation eines neuen WordPress-Plugins oder dem Einbinden eines Drittanbieter-Dienstes bzw. -Services sollten Sie zudem immer genau prüfen, welche Einstellungen im Anschluss notwendig sind, sollten hier Cookies gesetzt und/oder personenbezogene Daten gespeichert werden.

Mit Hilfe eines DSGVO Consent Tools und natürlich einem rechtssicheren Impressum sowie einer Datenschutzerklärung, haben Sie bereits einen Großteil für den Datenschutz gemäß DSGVO in WordPress getan.

 

 

eRecht24 Praxis Guide
Rechtssichere Webseiten:
Alles, was Sie wissen müssen
In unserem Guide erklären wir Ihnen in 12 Schritten, wie Sie eine Website rechtssicher erstellen - von der Wahl des Domainnamens über Impressum und Datenschutzerklärung bis hin zu E-Mail- und Newslettermarketing.
Guide jetzt kostenfrei herunterladen!

Name: Bitte Name angeben.

E-Mail-Adresse: Bitte korrekte E-Mail-Adresse angeben.

Ja, bitte senden Sie mir den kostenfreien Guide zu. Ich bin damit einverstanden, dass eRecht24 mir regelmäßig aktuelle Rechts-Updates, Praxistipps und Angebote aus den Bereichen Datenschutz und Internetrecht per E-Mail zusendet. Ich kann jederzeit form- und kostenlos widersprechen. Näheres entnehmen Sie unserer Datenschutzerklärung.
Vielen Dank!
Wir nehmen es mit dem Schutz Ihrer Daten genau und halten uns an die rechtlichen Vorgaben des Double-Opt-In. Bitte bestätigen Sie zuerst Ihre E-Mail-Adresse. Dann stellen wir Ihnen den Guide kostenfrei zur Verfügung.
Tipp: In unseren Premium-Paketen stehen Ihnen mehr als 10 praktische Guides mit Handlungsempfehlungen und passenden Generatoren und Tools zu verschiedenen Themen (Datenschutz, Urheberrecht, Marketing & Co.) kostenfrei zur Verfügung. Die Premium Praxis Guides werden sie regelmäßig aktualisiert, damit Sie stets auf dem neuesten Stand sind.
Sven Scheuerle
Sven Scheuerle

Sven Scheuerle ist selbstständiger Blogger, Kurs-Autor und im Online Marketing zu Hause. Bei eRecht24 unterstützt er seit 2018 regelmäßig mit praktischen Anleitungen zum rechtssicheren Einbinden von Tools und Plugins. Auf seinem eigenen Blog schreibt er außerdem regelmäßig über die Selbstständigkeit im Online Business. Als leidenschaftlicher Texter bringt er auch schwierige Themen verständlich auf den Punkt. Sein Ziel: Der AHA-Effekt sowie einzigartiger Mehrwert für seine Leser.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Testimo.dev
Sehr hilfreich, wie das Thema hier nochmals aufgegriffen wird. Als integrierbarer Drittdienstleis ter mit https://testimo.dev es für uns nicht immer einfach die Kunden/Webseiten Betreiber ihre Pflichten außerhalb des Funktionsumfang s unserer UGC Lösung zu erläutern. Dieser Artikel hilft dabei definitiv!
1

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details