WordPress DSGVO-konform nutzen

WordPress als Nutzer DSGVO-konform betreiben

(4 Bewertungen, 4.00 von 5)

Das Wichtigste in Kürze

  • WordPress ist das mit Abstand beliebteste Content-Management-System und bietet zahlreiche Möglichkeiten zur Einbindung von Drittanbieter-Diensten.
  • WordPress bringt von Haus aus einige Funktionen mit, welche nicht immer DSGVO-konform sind.
  • Mit Hilfe von sogenannten DSGVO-Plugins lässt sich WordPress rechtssicher betreiben.

Worum geht's?

WordPress ist nicht nur kostenlos, sondern zählt als Content-Management-System zum beliebtesten auf der Welt. So werden hiermit nicht nur kleine Blogs betrieben, sondern auch Firmen-Websites, Magazine sowie Online-Shops. Um das CMS DSGVO-konform einzurichten sind einige wenige Handgriffe notwendig, welche sich mit Hilfe zusätzlicher DSGVO-Plugins in nur wenigen Schritten umsetzen lassen.

WordPress.org zählt mit Abstand zu einem der beliebtesten Content-Management-Systeme auf dem Markt. In den letzten Jahrzehnten hat sich das CMS vom einfachen Blog-System zu einer umfangreichen Plattform für das Betreiben von Websites, Online-Shops und auch Magazinen entwickelt.

Es ist nicht nur kinderleicht einzurichten, sondern bietet darüber hinaus zahlreiche Plugins, über die WordPress auf jede beliebige Art und Weise erweitert werden kann. Doch müssen Sie dabei als WordPress-Nutzer natürlich auch immer die Datenschutzgrundverordnung (DSGVO) im Blick haben.

Wir möchten Ihnen in diesem Artikel zeigen, auf was Sie als WordPress-Nutzer besonders achten müssen und wie Sie die im Artikel angesprochen Thematiken in wenigen Schritten so umsetzen, dass sie der DSGVO entsprechen.

Übrigens finden Sie in unserem Artikel “DSGVO WordPress Tools Plugins” eine hilfreiche Übersicht über viele beliebte Plugins und auch darüber, ob sie DSGVO-konform einsetzbar sind.

 

1. WordPress DSGVO-konform nutzen

Alles beginnt bei WordPress.org mit der Installation auf einem Server, bei Ihrem Hosting-Anbieter Ihrer Wahl. Bereits hier ist natürlich aus DSGVO-Sicht zu empfehlen, einen Hoster zu auswählen, welcher seine Server in Deutschland bzw. innerhalb der EU stehen hat.

Einige empfehlenswerte Hoster für WordPress mit Serverstandort DE / EU sind:

Anzeige
  • All-Inkl
  • Raidboxes
  • Mittwald
  • Alfahosting
  • Hetzner
  • DomainFactory

Bei allen dieser Anbieter können Sie im Backend zudem einen Auftragsverarbeitungsvertrag abschließen, welcher für die DSGVO in jedem Fall abgeschlossen werden sollte. Was ein Auftragsverarbeitungsvertrag im Detail ist und wieso Sie diesen abschließen müssen, haben wir Ihnen in diesem Artikel ausführlich erläutert.

Nachdem Sie WordPress erfolgreich installiert haben, sollten Sie sich zu aller erst um die Kommentar-Funktion kümmern. Vorausgesetzt natürlich, diese nutzen Sie in Zukunft.

2. Die Kommentar-Funktion in WordPress

Wenn Sie WordPress als Content-Management-System nutzen, ist davon auszugehen, dass Sie mit großer Wahrscheinlichkeit auch die Kommentar-Funktion verwenden werden. Schließlich handelt es sich bei diesem CMS, um eine der beliebtesten Blog-Systeme auf dem Markt. Und was wäre eine Blog ohne Feedback der Leser?

2.1. Kommentar ist gleich Speicherung personenbezogener Daten

Wie Sie sich sicher bereits denken können, werden mit der Abgabe eines Kommentars durch den Website-Besucher, personenbezogene Daten gespeichert. Neben dem eigentlichen Kommentar kann bzw. muss der Nutzer seinen Namen, seine E-Mail-Adresse und ggf. seine Website-URL angeben. Das hängt ganz davon ab, welche Daten Sie als Website-Betreiber über das Kommentar-Formular abfragen.

Mit Angabe dieser personenbezogenen Daten müssen Sie dem Nutzer eine Möglichkeit geben, der Speicherung dieser, zustimmen zu können. Hierfür gibt es in WordPress ein sehr hilfreiches Plugin. Mit Hilfe des Plugins WP GDPR Compliance können Sie solch ein Einwilligungsfeld ganz einfach innerhalb des Kommentar-Formulars hinzufügen.

 Screenshot Kommentar verfassen

2.2. WP GDPR Compliance

Nach der Installation und dem Aktivieren des WP GDPR Compliance Plugins finden Sie dieses im WordPress-Menü unter Werkzeuge > WP GDPR Compliance.

Unter der Registerkarte “Einbindungen” finden Sie den Punkt “WordPress-Kommentare”.

 Screenshot Contact Form 7 Einbindungen

Hier können Sie den Text, welcher Ihren Nutzern ausgegeben werden soll ganz individuell anpassen. Zudem müssen Sie den Regler auf “Aktivieren” stellen und natürlich im Anschluss ebenfalls die Einstellungen speichern.

2.3. Die IP-Adresse bei Abgabe eines Kommentars

Füllt ein Website-Besucher die Kommentar-Felder aus und sendet den Kommentar ab, wird automatisch die IP-Adresse des Nutzers in WordPress gespeichert. Vorab sei gesagt, dass die Übermittlung der IP-Adresse nichts mit der vorher besprochenen “Einwilligung zur Speicherung von persönlichen Daten” zu tun hat. 

WordPress speichert die IP-Adressen von Haus aus. Das hat natürlich verschiedene Gründe, die unter anderem auch dabei helfen sollen, Spam-Kommentare zu erkennen und ggf. blocken zu können. Jedoch müssen Sie hier aufpassen! Denn mit der IP-Adresse kann ein Website-Besucher eindeutig identifiziert werden, was selbstverständlich alles andere als DSGVO-konform ist.

Da für die Abgabe eines Kommentars die Speicherung der IP-Adresse innerhalb von WordPress also nicht zwingend notwendig ist, müssen Sie auch hier entsprechende Maßnahmen ergreifen.

Hierfür gibt es aktuell zwei verschiedene Möglichkeiten.

2.3.1. functions.php Datei

Die sicherste Variante, die Sie für das “NICHT”-Speichern der IP-Adresse vornehmen können, ist der functions.php Datei einen entsprechenden Code-Schnipsel hinzufügen.

Diese php-Datei finden Sie direkt auf Ihrem Server (wp-content/themes/functions.php).

 Screenshot functions.php

Innerhalb dieser müssen Sie im Anschluss den folgenden Code hinzufügen:

function wpb_remove_commentsip( $comment_author_ip ) { return ”; add_filter( ‘pre_comment_user_ip’, ‘wpb_remove_commentsip’ );

Wichtig: Wenn Sie ein Child-Theme in WordPress nutzen, müssen Sie die php-Datei in dessen Ordner bearbeiten.

2.4. Plugin

Alternativ können ein Plugin zum Entfernen der IP-Adressen nutzen. Aktuell bietet sich hierfür das WordPress-Plugin DSGVO Tools: Kommentar-IP entfernen an. Mit diesem Plugin können Sie eine bestimmte Speicherdauer für die IP-Adresse festlegen, jedoch nicht verhindern, dass die IP-Adresse erst gar nicht gespeichert wird.

Das Plugin bietet sich jedoch hervorragend dafür an, bereits gespeicherte IP-Adressen zu entfernen. Haben Sie also bisher unabsichtlich Daten gespeichert, können Sie diese mit Hilfe des Plugins entfernen.

 Screenshot GDPR Tools

 2.5. Avatar

Bei dem Avatar handelt es sich um das Bild, welches neben dem Kommentar des Nutzers platziert wird. Vorausgesetzt natürlich, Sie haben diese Funktion in den WordPress-Einstellungen aktiviert (Einstellungen > Diskussion > Avatare).

 avatare screenshot

Das Problem bei den Avataren ist Folgendes. In der Regel wird für die Platzierung des Avatars der Service gravatar.com genutzt. Bei diesem wird im Anschluss ein Bild hochgeladen und mit einer E-Mail-Adresse verknüpft.

Bedeutet, wenn ein Nutzer ein Kommentar bei Ihnen hinterlässt und seine E-Mail-Adresse einträgt, mit welcher er ebenfalls den eben genannte Service nutzt, wird das entsprechende Avatar bzw. Gravatar automatisch abgerufen und neben dem Kommentar platziert.

 Screenshot Avatar eingebunden

Mit dem Abruf des Avatar wird gleichzeitig die IP-Adresse des Nutzers an den Anbieter gravatar.com übermittelt. Auch wenn es gerade auf Blogs “schöner” ist, wenn solche Nutzer-Avatare zu sehen sind, sind diese mit der Übermittlung der IP-Adresse an den entsprechenden Dienst nicht DSGVO-konform.

Wenn Sie also vermeiden möchten, dass solch ein Avatar ausgegeben wird, sollte ein Nutzer einen Service wie gravatar.com nutzen, müssen Sie die Funktion vollständig deaktivieren.

Jetzt Website absichern

 

2.6. Spam-Schutz für Kommentare

Sollten Sie für die Kommentare einen Spam-Schutz wie z. B. das Plugin Antispam Bee nutzen, müssen Sie sicherstellen, dass Sie hier nur Funktionen aktiv sind, welche keine personenbezogenen Daten speichern oder gar an externe Dienste weiterleiten.

 Screenshot Spam-Schutz

Wenn Sie Antispam Bee in seinen Standard-Einstellungen belassen, können Sie das Plugin bedenkenlos nutzen. Hier werden keinerlei Daten an externe Dienste weitergeleitet. Sollten Sie jedoch noch andere Funktionen nutzen wollen, müssen Sie vorab prüfen, welche Auswirkungen dies haben kann und ob Sie Ihre Website-Besucher entsprechend darauf hinweisen müssen.

2.7. Kommentare abonnieren: Double Opt-In

Sicher kennen Sie die Funktion zum Abonnieren von Kommentaren oder haben diese vielleicht selbst schon einmal auf anderen Webseiten in Anspruch genommen.

Solch eine Möglichkeit anzubieten kann sehr nützlich sein. Vor allem dann, wenn Nutzer über Antworten oder Kommentare anderer Besucher informiert werden wollen.

 Screenshot Kommentare abonnieren

ABER: Sie müssen hier das sogenannte “Double Opt-In” anbieten - ganz ähnlich wie beim E-Mail Marketing bzw. Newsletterversandt. Hat der Nutzer also die Option zum Abonnieren der Kommentare ausgewählt, muss er vorab eine Opt-In E-Mail erhalten, in der er dem Abonnent explizit zustimmen muss.

Um solch eine Funktion DSGVO-Konform in WordPress nutzen zu können, gibt es das Plugin Subscribe to Double-Opt-In Comments. Nach der Installation und dem Aktivieren finden Sie das Plugin unter Einstellungen > Subscribe to DOI Comments.

Hier haben Sie die Möglichkeit unter anderem einen Absender sowie eine E-Mail-Adresse für die Double Opt-In Mail einzupflegen und natürlich auch, die Texte nach Ihren Wünschen anzupassen.

 Screenshot Subscribe to DOI Comments

Mit der Aktivierung des Plugins wird die oben zu sehende Checkbox im Kommentar-Formular bereits aktiv. 

3. Kontaktformulare

Wenn Sie auf Ihrer WordPress-Seite Kontaktformulare nutzen, verhält es sich ganz ähnlich wie mit den Kommentaren. Denn auch hier müssen Ihre Website-Besucher in die Speicherung Ihrer Daten zustimmen, bevor das Kontaktformular versendet wird.

Um dies in nur wenigen Schritte möglich zu machen, können Sie das Plugin Contact Form 7 nutzen. Mit diesem können Sie auf einfache Weise Kontaktformulare erstellen und im Zusammenspiel mit dem bereits genannten Plugin WP GDPR Compliance - genau wie im Kommentar-Formular, eine entsprechende Checkbox für die Zustimmung zur Speicherung personenbezogener Daten hinzufügen.

 Screenshot Kontaktformular Checkbox

Um die Checkbox hinzufügen zu können, müssen Sie im WP GDPR Compliance Plugin ganz einfach die Registerkarte “Einbindungen” aufrufen und dort den Regler für “Contact Form 7” aktivieren.

 Screenshot Contact Form 7 DSGVO Tag

Falls Sie mehrere Kontaktformulare nutzen, können Sie hier sogar auswählen, in welchem Formularen die Checkbox ausgegeben werden soll. Natürlich können Sie hier ebenfalls den Text ganz an Ihre Vorstellungen anpassen.

Im Kontaktformular selbst ist außerdem zu empfehlen, auf die Datenschutzerklärung hinzuweisen. Dies können Sie mit einem entsprechenden Code-Snippet in den Formular-Einstellungen von Contact Form 7 einstellen.

 Screenshot Contact Form 7 Code

Zum Kopieren:

<label><strong>Einwilligungserklärung</strong>
(<a href="https://IHRE-DOMAIN/datenschutzerklaerung/" target="_blank">Datenschutzerklärung</a></em>)</label>

Infolgedessen müssen Sie außerdem sicherstellen, dass in Ihrer Datenschutzerklärung ein Hinweis zur Verwendung von Kontaktformularen auf Ihrer Website vorhanden ist. Hierfür können Sie natürlich unseren kostenlosen Datenschutz-Generator nutzen.

4. Drittanbieter-Dienste und Services

Vermutlich nutzen Sie in WordPress auch zahlreiche Drittanbieter-Dienste bzw. Services, für welche Sie ebenfalls ein Plugin installiert haben. Zu den Klassikern gehören hier unter anderem Google Analytics, das Facebook-Pixel, der Google Tag Manager und einige mehr.

Bei einer Vielzahl dieser Tools, werden Daten nicht nur innerhalb der EU, sondern auch ins Ausland übermittelt, gespeichert sowie Cookies gesetzt.

Um sicherstellen zu können, dass diese Art von Diensten und Services ebenfalls DSGVO-konform in WordPress genutzt werden, sollten Sie unbedingt ein sogenanntes DSGVO-Plugin nutzen, mit welchem Sie diese Art von Anbietern entsprechend der DSGVO-Richtlinien innerhalb des Content-Management-Systems nutzen können.

Denn nur mit einem solchen DSGVO-Plugin stellen Sie sicher, dass Sie den Website-Besucher über den eingebunden Service informieren und dieser selbst entscheiden kann, ob er diesem zustimmt oder nicht. Außerdem sollten Sie natürlich unbedingt einen Auftragsverarbeitungsvertrag mit dem entsprechenden Anbieter abgeschlossen haben, soweit dies möglich ist.

Damit Sie ein für Sie richtiges DSGVO Cookie Consent Tool finden, können Sie einen Blick auf unseren großen Cookie Consent Tool Vergleich werfen.

5. Impressum & Datenschutz

Ein ganz essenzieller Punkt, an den Sie als WordPress-Nutzer und natürlich auch als Website-Betreiber denken müssen, ist das Impressum sowie die Datenschutzerklärung.

So können Sie das Impressum sowie die Datenschutzerklärung mit Hilfe unserer Generatoren erstellen:

Impressum: https://www.e-recht24.de/impressum-generator.html

Datenschutzerklärung: https://www.e-recht24.de/muster-datenschutzerklaerung.html

Wobei die Datenschutzerklärung gerade in Bezug auf die DSGVO ein absolut wichtiger Bestandteil Ihrer WordPress-Seite sein muss. Denn hier klären Sie Ihre Besucher nicht nur über die von Ihnen eingebundenen Dienste und Services auf, sondern auch über den Sinn und Zweck für die Speicherung von personenbezogenen Daten.

Als Mitglied von eRecht24 bieten wir Ihnen in unserem Datenschutz-Generator bereits eine Vielzahl von Anbietern an, welche Sie mit nur wenigen Klicks in Ihre Datenschutzerklärung integrieren können.

Jetzt Website absichern

6. Fazit

WordPress bietet Ihnen als Nutzer zahlreiche Möglichkeiten, um eine Website, einen Online-Shop oder auch Blog betreiben zu können. Das Tolle dabei, auch als Leihe können Sie WordPress in nur kurzer Zeit so einrichten, dass das CMS allen Anforderungen der DSGVO entspricht.

Vor der Installation eines neues Plugins oder dem Einbinden eines Drittanbieter-Dienstes bzw. -Services sollten Sie zudem immer genau prüfen, welche Einstellungen im Anschluss notwendig sind, sollten hier Cookies gesetzt und/oder personenbezogenen Daten gespeichert werden.

Mit Hilfe eines DSGVO Consent Tools und natürlich einem rechtssicheren Impressum sowie einer Datenschutzerklärung, haben Sie bereits einen Großteil für die DSGVO in WordPress getan.

Sven Scheuerle
Sven Scheuerle

Sven Scheuerle ist selbstständiger Blogger, Kurs-Autor und im Online Marketing zu Hause. Bei eRecht24 unterstützt er seit 2018 regelmäßig mit praktischen Anleitungen zum rechtssicheren Einbinden von Tools und Plugins. Auf seinem eigenen Blog schreibt er außerdem regelmäßig über die Selbstständigkeit im Online Business. Als leidenschaftlicher Texter bringt er auch schwierige Themen verständlich auf den Punkt. Sein Ziel: Der AHA-Effekt sowie einzigartiger Mehrwert für seine Leser.


Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Firmenwebsite: Wann können Mitarbeiter Informationen über sich löschen lassen?
Weiterlesen...
Gründer: Die 10 häufigsten Fehler bei der Eröffnung eines Onlineshops
Weiterlesen...
Einwilligung und Cookie Banner: Was sind essenzielle Cookies?
Weiterlesen...
Die DSGVO und Datenpannen: Wann sind Sie zu einer Meldung verpflichtet?
Weiterlesen...
Facebook, Google, Foren & Co.: So löschen Sie Ihren Account
Weiterlesen...
Neues Gesetz: Fehlende Datenschutzerklärung kann ab sofort abgemahnt werden
Weiterlesen...
DSGVO: Datenschutzkontrollen durch die Datenschutzbehörden
Weiterlesen...
Brexit und DSGVO: Was Unternehmer und Webseitenbetreiber jetzt wissen müssen
Weiterlesen...
Mahnung und Inkasso: Drohen mit Schufa-Eintrag ist nicht erlaubt
Weiterlesen...
Datenschutz im Internet
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Support