DSGVO für WordPress Praktiker

Von | 2018-05-20T11:30:34+00:00 Mai 11th, 2018|Allgemein|9 Kommentare

Mein Anliegen als Coach ist es, Orientierung in der digitalen Welt zu geben. Aktuell wird dies in technischen Fragen insbesondere für die Optimierung einer WordPress-Installation im Sinne der DSGVO (engl. GDPR) gebraucht. Es besteht in diesem Thema erhebliche Rechtsunsicherheit (Beste Zusammenfassung dazu auf heise.de) und aktuell wird viel Geld mit dieser Unsicherheit verdient. Der Artikel dient der Orientierung zum Thema DSGVO und WordPress. Meine subjektiven Empfehlungen und Erfahrungen sind hier gesammelt und werden regelmäßig aktualisiert. Ziel des Artikels sind pragmatische Lösungen und nicht die Liste aller Möglichkeiten. Wer Diskussionen und Details sucht, schaut bitte in die Facebook-Foren, schreibt mir eine eMail an [email protected] oder kommentiert am Artikel.

Zur Einstimmung empfehle ich: Keine Panik. Die EU-DSGVO/GDPR bringt uns dazu mit Daten sparsam und transparent umzugehen. Wer das immer im Blick hat, bleibt entspannt und findet – nicht zuletzt mit diesem Artikel – passende Lösungen. Solange ein berechtigtes Interesse (DSGVO § 6 (1) f) (oder einer der weiteren Erlaubnisgründe dieses Paragraphen) besteht, dürfen wir weiterhin Daten erheben und verarbeiten. Ein berechtigtes Interesse kann im Grundsatz "jedes von der Rechtsordnung gebilligte Interesse" sein, das über reine Neugierde hinausgeht. Berechtigte Interessen können rechtlich, wirtschaftlich oder ideell begründet werden. Damit ist (weiterhin) fast alles möglich, was mit sehr guten Argumenten und einer Interessenabwägung unterlegt ist.

Weiterhin: Es gibt deutliche Hinweise darauf gibt, das Verstöße gegen das DSGVO nicht automatisch als unlauteren Wettbewerb (UWG) gewesen werden und damit nicht abgemahnt werden können (Quelle).

Artikel-Version 34 vom 20. Mai 2018

WordPress 4.9.6 und DSGVO

Das Core-Team von WordPress.org hat mit der Version 4.9.6 am 17. Mai 2018 ein Update veröffentlicht, welches den Umgang mit den DSGVO/GDPR-Richtlinien vereinfacht. Die Hauptfunktionen sind die Möglichkeit Personenbezogene Daten zu exportieren und zu löschen (beides unter Werkzeuge). Beim Kommentieren erscheint jetzt eine Checkbox „Meinen Namen, E-Mail und Website in diesem Browser speichern, bis ich wieder kommentiere.“, welche aktuell nicht im Backend abschaltbar oder konfigurierbar ist.

Weiterhin wird unter Einstellungen/Datenschutz ab jetzt die eigene Datenschutz-Seite ausgewählt und Vorschläge gemacht, welche Textbausteine eingefügt werden sollten. Auf der Login-Seite erscheint jetzt der Hinweis auf die Datenschutzerklärung.

Einstellungen in WordPress für die DSGVO

Unter Einstellungen/Schreiben/ Emoticons wie :-) und :-P in Grafiken umwandeln abschalten, denn hier wird die IP-Adresse übertragen. Alternative: Hinweis in den Datenschutzerklärungen (DSE)

Unter Einstellungen/Diskussionen/ Avatare anzeigen abschalten, denn auch hier wird die IP und eMail-Adresse übertragen. Alternative: Hinweis in den Datenschutzerklärungen und diesen Hinweis beim Abgeben von Kommentaren ergänzen. Weitere Alternative: das Plugin Avatar Privacy verwenden.

Unter Einstellungen/Datenschutz die aktuelle Datenschutz-Seite auswählen und Diese Seite benutzen klicken.

Kommentare: Das einfachste ist, Kommentare komplett abzuschalten. (Einstellungen/Diskussionen/ Besuchern erlauben, neue Beiträge zu kommentieren  – Achtung: Kann an jedem Beitrag/Seite überschrieben werden).

Wer Kommentare weiterhin erlauben möchte, sollte Einstellungen/Diskussionen/Benutzer müssen zum Kommentieren Name und E-Mail-Adresse angeben abschalten – Datensparsamkeit ist eine Anforderung der DSGVO. Ein Hinweis auf das Speichern der Daten als Cookie im Browser ist ab WordPress 4.9.6 automatisch enthalten. Entsprechende Infos in der DSE sind Pflicht (u.a. Speicherung der IP-Adresse).

Es gibt Diskussionen, ob für das Speichern der Kommentare das berechtigte Interesse (Art 6 Abs. 1 lit. f DSGVO) ausreichend ist oder es eine weitere Einwilligung des Nutzers (Art 6 Abs. 1 lit. a, 7 DSGVO) benötigt. Ich persönlich glaube, das der Hinweis in der DSE und die von WordPress angebotene Checkbox mehr als ausreichend sind, den Nutzer transparent über die Verwertung seiner Daten zu informieren.

Zum Thema Opt-Out, Opt-In und der Risikoabwägung empfehle ich den Artikel: „Wenn Onlinemarketing zum Glücksspiel wird – DSGVO, Tracking und Opt-In-Pflicht für Cookies“

WordPress Plugins und die DSGVO

Eine Liste von Plugins mit DSGO-Hinweisen gibt es hier. Deshalb nur einzelne Hinweise:

Akismet Plugin. Am besten abschalten. Ansonsten mit Automatticc Auftragsverarbeitungsvertrag (AVV) schließen.

Antispam Bee nutzen, wenn Kommentare erlaubt sind. Das Plugin überträgt ab Version 2.8 keine persönlichen Daten, ist also aus DSGVO Sicht nutzbar (Quelle). Wer ganz sicher gehen möchte: Unter Einstellungen/Antispam Bee alle Optionen überprüfen, wo ein „Datenschutzhinweis“ an der Beschreibung steht.

Wer als Journalist oder Autor die Zählpixel der VG Wort nutzt, sollte das Plugin Prosodia VGW OS für Zählmarken (VG WORT) installieren und die DSE entsprechend ergänzen. Aktuell könnten die Zählpixel ein Problem werden, weil die VG Wort ein Symantec SSL Zertifikat verwendet, welches Google in Chrome ab Version 70 (geplant für 20. Juli 2018) für ungültig erklärt wird (Quellen: Chrome, Heise)

YouTube Videos

Normal eingebettet YouTube-Videos setzten sofort beim Laden der Seite ein Tracking-Cookie. Das würde ich verhindern. Man kann beim Erstellen des Links in YouTube bei Teilen/Einbetten den Erweiterten Datenschutzmodus aktivieren.“ Wählen und erhält eine URL die aus https://www.youtube.com/embed/… ein https://www.youtube-nocookie.com/… macht. Es werden allerdings weiterhin Cookies gesetzt (Hintergrundinfos im Artikel der c’t). Das lässt sich mit dem Plugin WP YouTube Lyte umgehen, welches ein Vorschaubild lokal speichert (in den Einstellungen aktivieren!) und YouTube erst aufruft, wenn der Nutzer das Video klickt. Ein Eintrag in die DSE ist deshalb trotzdem nötig. Bei meinen Tests wurden die von WordPress eingebetteten Videos nicht konvertiert, wohl aber wenn die URL direkt eingegeben wurde.

Wer ein Theme mit einer Content Box für YouTube-Videos verwendet hat aktuell ein Problem – das funktioniert meist nicht mit den Plugins.

Google Fonts & Adobe Typekit

Im Netz läuft eine hitzige Diskussion über die Einbindung der Google Fonts. Bei dem Abruf der eigenen Website wird zumindest die IP-Adresse des Kunden an Google übertragen. Google versichert jedoch, das hier keine Speicherung oder Verknüpfung der Daten erfolgt. Die Möglichkeit, die Fonts auf den eigenen Server zu installieren gibt es, man muss aber auf die korrekte Deklaration der Apache-, UFL oder OFL-Lizenz achten. Normalerweise liefert der Google-Server immer die aktuelle Version des Fonts und das deutlich schneller als die eigene Seite. Wenn der Kunde andere Webseiten mit dem gleichen Font besucht hat, ist sie evtl. sogar im Cache (die Fonts haben eine Cache-Lifetime von 1 Jahr). Ich halte es für berechtigtes Interesse, das die Fonts wie aktuell eingebunden werden. Ein Eintrag in die DSE ist natürlich zwingend. Im Zweifel: einen Anwalt fragen oder auf Comic Sans umstellen. Weitere Quellen zu meiner Meinung hier und hier und gegenteiliger Meinung hier.

Wer doch das Problem umgehen möchte, sollte das Plugin Autoptimize nutzen. Bietet sowohl die Möglichkeit des Entfernen als auch Einbetten. Hierzu das passende unter Einstellungen/Autoptimize/Extras/Googe Fonts auswählen.

Gleiches gilt für Adobe Typekit. In der DSE sollte ein entsprechender Hinweis auf die Nutzung von Typekit stehen mit dem Link auf die Datenschutzhinweise. Bei Typekit ist das lokale Laden der Fonts nicht erlaubt, da im Gegensatz zu Google Fonts kommerzielle Fonts angeboten werden.

Google Maps

Google Maps lassen sich sehr komfortabel über das Plugin WP Google Maps einbinden. Ein Hinweis auf die Einbindung von Google Maps in der Datenschutzerklärung ist Pflicht. Ich würde einen Hinweis auf die DSE zusätzlich direkt an die Karte setzen. Da einige Daten übertragen und Cookies gesetzt werden ist aus Datenschutzgründen das Thema Google Maps zumindest kritischer zu sehen als Google Fonts. Ich gehe davon aus, das ein gut formulierter Cookie-Hinweis beim Aufruf der Website ausreicht. Ein Screenshot der Karte ist definitiv keine Lösung, da aus Urheber- und Lizenzgründen verboten. Das ziemlich frische Plugin Extra Privacy for Elementorimplementiert eine 2-Klick-Lösung, ist allerdings nicht annähernd so komfortabel wie WP Google Maps.

Google Analytics

Manche empfehlen, Google Analytics durch ein selbst gehostetes Plugin zu ersetzen (z.B. Matomo, früher PIWIK). Aus Datenschutzgründen hilft das nur bedingt, denn die Daten werden nur woanders erhoben. Für die Einbindung von Analytics ist zwingend der Abschluss des AVV mit Google nötig. Das geht durch einen Klick im Bereich Verwaltung/Kontoeinstellungen. Manche sagen, das der Vertragsschluss nur schriftlich rechtskräftig wäre und schicken Papier nach Irrland. Ich erkenne hier nicht, warum die erweiterte Schriftform zwingend nötig sein sollte, vor allem da das Datum der Zustimmung von Google angezeigt wird.

Den Tracking Code kann man direkt in WordPress über Templates einfügen. Ich empfehle jedoch das Plugin Google Analytics Dashboard for WP (GADWP), da dieses alle gängigen Ops-Out und Do-Not-Track Varianten beachtet.

Wichtigste Einstellung: Unter Google Analytics/Tracking-Code/Erweiterte Einstellungen folgende drei anschalten: IP-Adresse anonymisieren, enable support for user opt-out, exclude tracking for users sending Do Not Track header und unbedingt aktiviere Remarketing-, demografische und Interessen-Berichte ausschalten. Wer die Remarketing-Funktion oder die Funktion für Werbeberichte (siehe unter Google Analytics/Verwaltung//Tracking-Informationen/Datensammlung) anschaltet, muss sich möglicherweise eine explizite Einwilligung vom Kunden einholen (also ein Opt-In statt Opt-Out, Quelle). Wie genau das geht streiten sich aktuell die Anwälte und später die Gerichte.
Der Cookie von DoubleClick kommt möglicherweise auch durch diese Funktion auf die Website.

Wer den Analytics-Code von Hand eingefügt hat, sollte dringend das anonymisieren der IP-Adressen einschalten mit: ga('set', 'anonymizeIp', true);im Script in der Zeile vor ga('send', 'pageview');

Facebook Pixel

Der Facebook-Pixel sorgt wohl für die meisten Diskussionen und es gibt zwar eine Tendenz in den Aussagen der Anwälte, aber auch deutliche Unsicherheiten. Wer den Facebook Pixel nicht aktiv für seine Werbekampagnen nutzt, sollte ihn rauswerfen – einfach wegen der Risikoabwägung.

Wer die Standard-Version des Pixels nutzt sollte sollte mit einem Opt-Out hinkommen. Für den erweiterten Abgleich (das wäre der Remarketing-Pixel mit Custom Audiences und Look-Alike-Audiences) ist ein Opt-In (Explizite Zustimmung!) nötig.

Cookie Consent

Die Cookie-Meldung ist nicht neu und müsste daher schon auf jeder Seite laufen (gute Infos von Google auf cookiechoices.org). Neu ist, das wir für die von den Nutzung unserer Webseite bei bestimmten Diensten ein oder mehrere Opt-In brauchen und genauer aufklären müssen als früher. Aktuell gehe ich davon aus, das eine Cookie-Information mit Opt-Out-Möglichkeit (Do-not-track u.ä.) ausreichend ist, außer hier im Dokument wird explizit auf Opt-In verwiesen. Aus rechtlicher Sicht kann ich keine klare Linie bei der Argumentation der Anwälte erkennen – die Bandbreite der Möglichkeiten wird komplett ausgeschöpft und jeweils schlüssig begründet.

Für normale Cookie Meldungen hat sich das Plugin Cookie Notice von dFactory bewährt. Hiermit mit den Standard-Hinweis auf die Nutzung von Cookies hinweisen und auf die Datenschutzerklärung verlinken.

Für das Thema DSGVO und Opt-In gibt es in letzter Zeit vermehrt kostenpflichtige Plugins. Da diese meist außerhalb des WordPress-Plugin-Verzeichnis angeboten werden, sind nur wenige Reviews oder Erfahrungsberichte verfügbar. Eine Empfehlung kann ich deshalb aktuell nicht aussprechen. Zum Teil werden diese aggressiv mit Affiliate-Marketing und Gutscheinen beworben. Der Nutzen dieser Plugins ist manchmal ehr gering im Vergleich zu den vorhandenen kostenfreien Plugins. Bekannt sind mir:

  • Borlabs Cookie für 29 € oder 149 € als Agentur-Version, das Plugin deckt auch die Thematik der YouTube/Vimeo-Videos ab
  • Facebook Pixel Opt-Out für 37 € (deutliche Rabatte mit Gutschein möglich)
  • Cookie Control v8 von kostenfrei bis £199 + VAT / Year. Kein WordPress-Plugin, aber mit allen wichtigen Funktionen
  • Cookiebot.com ist mit seinen monatlichen und volumenabhängigen Preisen völlig außerhalb jeder Relation…

Social Buttons

Fast immer übertragen Social Buttons Cookies um den Nutzer über Seitengrenzen hinweg zu verfolgen. Das ist im Vergleich zur reinen Übertragung der IP bei Google Fonts ein großes Datenschutz-Thema. Mindestens ein Hinweis auf die Datensammlung in der DSE ist Pflicht. Unbedingt empfehlenswert ist es, das Sammeln erst zuzulassen, wenn der Nutzer einen Button klickt. Die Zeitschrift c’t hat schon vor Jahren mit dem Shariff ein passendes Tool entwickelt. In WordPress lässt sich das Tool hervorragend mit dem Shariff Wrapper einbinden.
Ich persönlich sehe die Datensammlung hier wirklich kritisch und habe alles rausgeworfen, denn die Anzahl der Interaktionen auf diese Buttons ist im Vergleich zur Datensammlung völlig unverhältnismäßig. Abgesehen davon lädt die Seite deutlich schneller.
Reine Icons mit Links reichen vollkommen aus und so, wie ich sie auf dieser Seite oben rechts verwende sind sie etwas völlig anders : nämlich nur ganz normale Links und damit völlig unkritisch. Hier werden keine Daten von fremden Servern bezogen (=keine Preisgabe der IP-Adresse), es können damit keine fremde Cookies gesetzt und die surfende Person nicht mehr verfolgt werden. Das verlinkte Bild/Icon muss dann auf dem eigenen Server liegen. Viele Template bieten mit Font Awesome eine passende Lösung.

Kontaktformular

Wer Contact Form 7 einsetzt, sollte im Kontaktformular oberhalb des Buttons senden einen Hinweis einblenden:

[acceptance acceptance-854] Mit dem Absenden Ihrer Anfrage erklären Sie sich mit der Verarbeitung Ihrer übermittelten Daten zum Zweck der Bearbeitung Ihrer Anfrage einverstanden (LINK: Datenschutz) [/acceptance]

Ziel ist hier, das der Nutzer vor Absenden seiner Daten über die Verarbeitung hinreichend informiert ist. Bei Kontaktformularen bitte immer auf Datensparsamkeit achten und nicht nötige Felder optional machen. Das bedeutet nicht, das man nicht nach dem Namen fragen darf – es ist schließlich ein berechtigtes Interesse eine persönliche Anfrage auch persönlich beantworten zu können.

YouCanBook.me

Als Unternehmen aus England unterliegt YouCanBook.me dem EU-Recht und hat die DSGVO-Anpassungen vorgenommen. Nach dem nächsten Einloggen stimmt man den neuen Vertragsbedingungen zu und erhält per eMail ein signiertes Dokument, welches als AVV gilt. Unter anderem gibt es einen Einwilligungs-Button für die Datenverarbeitung. Die Dauer der Datenspeicherung wird ab dem 25. Mai änderbar sein und ein Datenexport ist vorgesehen.

Die Integration in WordPress ist damit unkritisch, wenn in YouCanBook.me auf die Datenverarbeitung hingewiesen wird. Um YCB.me direkt in die eigenen Seiten einzublenden empfehle ich das Plugin iframe. Der Code für die WordPress-Seite lautet:

<iframe width="100%" height="1000" src="https://XXXXXXX.youcanbook.me/?noframe=true&skipHeaderFooter=true" style="width:100%;height:1000px;border:0px;background-color:transparent;" frameborder="0" allowtransparency="true" onload="keepInView(this);"></iframe><script>function keepInView(item) {if((document.documentElement&&document.documentElement.scrollTop) || document.body.scrollTop>item.offsetTop) item.scrollIntoView();}</script>

Newsletter

Nach diversen Experimenten nutze ich als Mail-Versender nur noch MailChimp und bin sehr zufrieden. Die DSGVO (hier: GDPR) wurde intern hervorragend umgesetzt (explizite Speicherung der Zustimmung für differenzierte Werbekanäle, angepasste Formulare usw., Details hier). Wie immer braucht es einen unterschriebenen Auftragsverarbeitungsvertrag ( PDF ).

Ein paar Worte zu den anderen bekannten: CleverReach hat einen völlig unbrauchbaren Template-Editor, Getresponse ständig Fehler bei komplexeren Aufgaben und KlickTipp ist vor allem deshalb hoch gelobt, weil es sehr hohe Affiliate-Provisionen gibt. Dabei sind Einschränkungen wie der fehlende Template-Editor und das Bull-Hinzufügen von eMails auf 10 Stück/Tag bei fast 30 €/Monat völlig unverständlich.

Bei einem Newsletter muss der Kunde informiert werden, warum er seine Daten hergibt und was er dafür bekommt. Ich habe das mit einer eigenen Seite umgesetzt: https://www.storemotion.de/impressum/newsletter/, welche stark von der Seite von Dr. Schwenke inspiriert ist. Ein Eintrag in der Datenschutzerklärung ist trotzdem Pflicht.

Die Fachwelt streitet sich noch, ob ein extra Häkchen gesetzt werden muss, das die Datenschutzerklärungen verstanden worden oder ein Hinweis reicht. Hier auf der Seite rechts unten habe ich es mit dem Link „Inhalt, Datenschutz, Analyse und Widerruf“ umgesetzt, der direkt am Button ist. Ein Double-Opt-In ist selbstverständlich.

Die technische Seite in WordPress. Es gibt mehrere Integrationsmöglichkeiten. Das Plugin MailChimp for WordPress ist hervorragend, unterstützt aber noch nicht die neuen DSGVO-Funktionen von Mailchimp. Mit dem Plugin lässt sich ein Anmelde-Formular an fast allen Stellen in WordPress komfortabel unterbringen. Vom gleichen Anbieter kommt das Plugin Boxzilla, welches einfliegende Boxen wie hier auf der Website zu sehen komfortabel ermöglicht.

Völlig ohne Plugin funktioniert die Einbindung mittels Javascript. Unter dem Account Menü in Mailchimp rechts oben den Punkt Connectes Sites wählen, dort das JS kopieren und im Head-Bereich in WordPress einbinden. Dann lassen sich schick aussehende Pop-up Forms auf der eigenen Seite einblenden, die explizit die nötige DSGVO-Einwilligung holen. Ob und wie mit dem JavaScript Code ein Tracking stattfindet ist mir noch nicht klar.

Cache Plugins

Jede Installation sollte ein Cache-Plugin laufen haben. Technik-Freaks und erfahrene nutzen W3 Total Cache. Alle anderen WP Super Cache. Alle, die Support und maximale Leistung wollen kaufen Borlabs Cache oder WP Rocket. Alle sind unkritisch in Hinblick auf DSGVO, da sie keine persönlichen Daten speichern.

Konfiguration W3 Total Cache

Hier die Basis-Konfiguration, die sinnvoll und relativ unkritisch ist und für jeden gängigen Server funktionieren müsste:

Tab Performance/General Settings:

Einschalten: Page Cache, Minify, Browser Cache und der Rest ausgeschaltet

Tab Page Cache:

Einschalten: Cache posts page, Cache feeds, Cache SSL, Don’t cache pages for logged in users, Cache Preload

Tab Minify:

JS minify Settings: Einschalten und Combine only wählen (außer, man verwendet Autoptimize, dann ausschalten)

CSS minify Settings: Einschalten und Combine only wählen (außer, man verwendet Autoptimize, dann ausschalten)

Database Cache: Nur einschalten, wer einen eigenen Server betreibt

Tab Browser Cache:

Die ersten fünf Optionen mit „Set …“ einschalten und ebenso Enabhle HTTP compression

Das gleiche für den Bereich CSS & JS und HTML & XML sowie Media & Other Files

Unter dem Tab Extensions die Extensions für AMP, CloudFlare, Yoast SEO aktivieren, sollte einer der Plugins laufen. Die anderen Extensions ausschalten.

WordPress Sicherheit

WordPress liefert rund 25% der weltweiten Webseite-Inhalte aus. Damit ist das System höchst attraktiv für automatisierte Angriffe. Jeder sollte sich darum kümmern. Meiner Meinung nach ist die Installation des Wordfence Security Plugins sinnvoll. Problematisch ist, das die IP-Adressen gespeichert werden, um Brute Force Angriffe zu verbinden (was ein berechtigtes Interesse lt. DSGVO darstellen sollte). Ein Update des Plugins ist angekündigt. Aus Sicht der DSGVO ist ein solches Plugin damit ehr hinderlich, aus Sicht des Betreibers der WordPress-Installation jedoch sehr sinnvoll.

Wordfence

Das Sicherheits-Plugin Wordfence hat zwei Hauptfunktionen: Ein Web Application Firewall (WAF) und ein Security-Scanner. Die Firewall kann man mit dem Installations-Tool einfach einschalten und sollte dann transparent laufen. Wer ein Cloudflare vorgeschaltet hat und mindestens den Professional Plan ($20/Monat/Domain) hat, sollte dort den WAF aktivieren und in Wordfence abschalten.

Der Scanner läuft im Hintergrund regelmäßig und meldet Veränderungen an der WordPress-Installation. Man erhält relativ viel eMails, die man in der Konfiguration etwas reduzieren kann (Empfehlung: Only alert me when that administrator signs in from a new device or location aktivieren). Unter Wordfence/All Options/Disable Wordfence Cookies einschalten.

Wer Probleme hat, das der Scan nicht durchläuft: Unter Wordfence/All Options rechts oben Expand All wählen, dann in der Option Maximum execution time for each scan stage eine 15 eintragen und speichern.

Wordfence arbeitet an der DSGVO-Konformität und wird sich sowohl Privacy-Shield zertifizieren lassen als auch ein passendes Update liefern.

SSL Verschlüsselung

Jede, wirklich jede Webseite sollte heute SSL verschlüsselt sein. Spätestens seit dem Google die Verschlüsselte Übertragung als einen Ranking-Faktor nutzt.

Es gibt mehrere Möglichkeiten, die eigene Website SSL zu verschlüsseln. Dazu muss ein SSL Zertifikat erstellt werden. Die meisten Hoster bieten das kostenfrei oder kostengünstig an. Bei Domainfactory ist das erste AlphaSSL Zertifikat im Paket meist kostenfrei, jedes weitere kostet knapp 2 €/Monat. Andere Hoster bieten kostenfreie Zertifikate über Let’s Encrypt an – das reicht völlig.

Nach der Installation des Zertifikates müssen unter Einstellungen/Allgemein beiden URLs von http:// auf https:// geändert werden. Weiterhin sollte man eine permanente Weiterleitung von http auf https implementieren. Dazu mit einem ftp-Programm die Datei .htaccess im WordPress Hauptverzeichnis um folgende Zeilen ergänzen:

RewriteCond %{HTTP_HOST} ^storemotion\.de

RewriteRule ^(.*)$ https://www.%{HTTP_HOST}/$1 [R=301,L]

Achtung: Wer hier was falsch macht, schießt die Seite komplett ab. Unbedingt die .htaccess vorher sichern. Wer Cloudflare laufen hat, kann auch eine Page Rule für das gleiche Ergebnis eintragen.

Bitte auch daran denken, das https-Property in der Google Search Console zu verifizieren.

Es sind hier Tests nötig, ob die Seite komplett verschlüsselt ist. Siehe unten.

Eine weitere Möglichkeit die eigene Seite SSL verschlüsselt auszuliefern ist die Nutzung von

Cloudflare

Der Dienstleister Cloudflare ist eigentlich gestartet, um koordinierte Angriffe (sogenannte DDoS-Attaken) auf Webseiten zu verhindern. Neben der Erhöhung der Performance erhält man für jede Webseite ein kostenloses SSL Zertifikat und einen Performance-Schub dazu. Im Professional Paket für $20/Monat/Domain ist eine Web Application Firewall (WAF) enthalten, der sich perfekt zu Wordfence ergänzt oder diesen ersetzt. Wer sich die Umstellung von Mixed Content (siehe unten den Bereich Testen) sparen möchte, kann Cloudflare vor die Website schalten und sie ist automatisch komplett verschlüsselt.

Konfiguration von Cloudflare (Originaltexte u.a. hier, hier, hier und hier)

Im Tab SSL:

  • SSL auf Flexible, wer kein sauberes Zertifikat auf der Homepage laufen hat, ansonsten Full wählen
  • Always use HTTPS, Automatic HTTPS Rewrites, Opportunistic Encryption einschalten

Im Tab Firewall:

  • Rate Limiting aktivieren – hierfür muss eine Kreditkarte hinterlegt werden. Es sind jedoch 10.000 erfolgreiche Aufrufe der Rule enthalten, es wird also nichts kosten (blockierte Aufrufe zählen nicht)
  • Protect Your Login wählen und https://www.EIGENE-DOMAIN.de/wp-login.phpeingeben
  • Security Level: Medium
  • Bei Professional Plan: Web Application Firewall einschalten, Package: OWASP ModSecurity Core Rule Set auf Medium, dort Show Rules und auf Seite 2 „Rules to detect attacks on WordPress.“ einschalten

Im Tab Speed:

  • Auto Minify: alle drei einschalten, läuft bis jetzt bei allen Seiten ohne Probleme
  • Professional Plan: Polish einschalten, Lossless oder Lossy nach Geschmack wählen
  • Brotli, Mirage, Rocket Loader einschalten. Achtung: Rocket Loader zusammen mit Wordfence unbedingt testen! (Netzwerkverkehr im Chrome Inspector anschauen)

Im Tab Cache:

  • Caching Level: Standard
  • Always Online einschalten

Im Tab Pages Rules: (mehr Infos hierzu)

Wer Wordfence benutzt kann unter Wordfence/All Options/Use the Cloudflare "CF-Connecting-IP" HTTP header to get a visitor IP. Only use if you're using Cloudflare einschalten

Testen

Nachdem die WordPress Installation umgestellt wurde, sollten mindestens zwei Themen getestet werden: SSL und Cookies. Alle anderen DSGVO-Themen sind extra zu betrachten. Tracking-Codes lassen sich schnell und einfach mit dem Tool Ghostery erkennen.

Cookies

Im Chrome ist alles integriert: rechts oben auf die drei Punkte klicken, dann Weitere Tools und dort Entwicklertools wählen. In den Tabs auf „Application“ gehen. Links im Bereich Storage werden jetzt die Cookies angezeigt. Vorher alle AdBlocker und Privacy-Extensions für diese Domain abschalten. Möglicherweise muss man alle alten Cookies einmal löschen (rechte Maustaste, Clear wählen) und dann mit Strg-R die Seite neu laden um zu sehen, welche gesetzt werden. Die meisten Cookies von der eigenen Domain sind verhältnismäßig unkritisch. Bei Cookies einer anderen Domain ist genau zu prüfen, wann die gesetzt werden. WordPress legt für eingeloggte Nutzer, Kommentatoren und aus weiteren Gründen Session Cookies an, das ist normal und unschädlich.

SSL

Eines der häufigsten Probleme bei der Umstellung auf SSL ist sogenannter Mixed Content. Wenn auf einer Webseite Elemente unverschlüsselt vom Server geladen werden, erkennt der Browser das die Seite nicht komplett sicher ist und verweigert das grüne Symbol in der URL Leiste. Bei WordPress sind es häufig Bilder, die in Page Buildern geladen wurden und extern geladene Badges. Um zu erkennen welche Ressource unverschlüsselt geladen werden, wie unter Cookies beschrieben den Entwickler-Modus öffnen und dort unter dem Tab Console schauen. Für jede Datei, die nicht über SSL abgesichert ist, wird dort ein roter Eintrag gemacht. Diese Einträge können von Hand korrigiert werden oder man lässt sich durch das Plugin SSL Insecure Content Fixerdabei unterstützen. Eingebettete Javascript Codes/Tracker/Badges sind meist von Hand zu korrigieren. Im Extremfall muss jede einzelne Seite der WordPress Installation geprüft und geändert werden. Eine weitere Möglichkeit ist, CloudFlare vor die Website zu schalten und sich das Suchen nach Mixed Content zu sparen (siehe oben).

Weiteres Rechtliches

Wie bis jetzt auch braucht jede Webseite ein korrektes Impressum und eine vollständige Datenschutzerklärung. Das Impressum lässt sich leicht über die bekannten Generatoren erstellen. Bei der Datenschutzerklärung würde ich den Datenschutz-Generator nehmen. Der gleiche Anwalt hat den t3n Datenschutz-Guide geschrieben. Für 99 € erhält man hier auch einen ganzen Stapel weiterer Vorlagen. Da die Online-Lizenz für eine Firma gültig ist, kann es günstiger sein den Guide zu kaufen, als den Generator zu nutzen.

Die Links zum Impressum und zur Datenschutzerklärung müssen von jeder Seite leicht erkennbar und erreichbar sein. Am einfachsten ist es, die Links im Footer unterzubringen, der auf jeder Seite gezeigt wird. Unbedingt die mobile Version der Website prüfen, ob hier die Links auch sichtbar und klickbar sind. Ich empfehle für Impressum und Datenschutzerklärung jeweils einen eigenen Link auf eine eigene Seite. Für die Datenschutz-Seite empfehle ich ein noindex zu setzen, so das die Seite nicht im Suchindex der Suchmaschinen auftaucht und damit bei automatisierter Suche nach Abmahnfähigen Texten nicht gefunden wird. Am einfachsten geht es mit Yoast SEO: das Zahnrad klicken, dort bei „Erlaube Suchmaschinen diesen Seite in den Suchergebnissen anzuzeigen?“ auf „Nein“ stellen.

Auftragsverarbeitungsverträge

Es ist nötig, mit dem eigenen Hoster und allen weiteren Dienstleistern, die persönliche Daten erheben und verarbeiten Auftragsverarbeitungsverträge (AVV) zu schließen.

Hier eine kurze Liste von direkten Links zu den AVVs:

Weiterführende Links

Facebook-Gruppe

Bonus Tipps

Bilder verkleinern

Die Ladezeit einer Website hängt hauptsächlich von der Anzahl der angeforderten Dateien (Zahl der HTTP-Requests) und deren Größe ab. Beides sollte reduziert werden. Die Bildgröße lässt sich meist einfach reduzieren. Das Tool JPEGmini reduziert JPGs ohne sichtbaren Qualitätsverlust. Eine Skalierung auf die passende Bildgröße lässt sich auch einstellen. Für alle Bilddateien (inkl. SVGs) eignet sich ImageOptim (nur Mac oder online). Es gibt auch eine Reihe von WordPress-Plugins, die ähnliches erledigen.

Theme-Auswahl

Es gibt eine Reihe von großen Template und dazu passenden Pagebuildern. Komplett unbrauchbar finde ich den Cornerstone aus dem X-Theme von theme.co. Das könnte sich mit dem Pro aus gleichem Hause bessern. Sehr gut ist Thrive mit dem Thrive Architekten. Ich nutze seit einer Weile AVADA mit dem Fusion Builder und kann es absolut empfehlen. Die Subthemes kann man sich auch teilweise importieren und so viel Zeit sparen. Laut des Support-Forums wird bei AVADA an der DSGVO-Konformität gearbeitet.

Impressum auf Login-Seiten/Baustellenseiten?

Die Frage nach der Impressumspflicht auf temporären/Baustellenseitentaucht regelmäßig auf. Die Kurzfassung: Ein Impressum ist nötig, wenn auf der Seite eine  eine geschäftliche Tätigkeit dargestellt wird, also eine objektiv eigenen oder fremden Absatz fördernde Maßnahme vorhanden ist. Dazu reichen kleine Indizien. Eine reine Login-Seite hat diese normalerweise nicht.

Eine Datenschutzerklärung braucht es dann, wenn persönliche Daten verarbeitet werden. Die ist u.a. der Fall, wenn der Hoster die IP-Adresse vollständig, also nicht anonymisiert, speichert.

Vorschläge für Abschnitte der Datenschutzerklärung

Folgend ein paar Vorschläge für speziellere Dienste, die von den meisten mir bekannten Datenschutzgeneratoren nicht abgedeckt werden. Für die folgenden Texte übernehme ich keinerlei Haftung oder sonstige Zusicherung:

Nutzung von CloudFlare

Zur Optimierung der Darstellung dieser Webseiten, insbesondere zur Erhöhung der Ladegeschwindigkeit des jeweiligen Seiteninhalts, verwenden wir den Technologiepartner CloudFlare Inc., 101 Townsend St, San Francisco, CA 94107 USA (nachfolgend „CloudFlare“ genannt) als Reverse-Proxy und Content-Delivery-Network (CDN). Datenströme von und zu unseren Webseiten verlaufen zunächst über das weltweite Netzwerk von CloudFlare. Hierbei wird regelmäßig das nächstgelegene Rechenzentrum verwendet. Die gesammelten Rohdaten werden dort nach eigenen Angaben i. d. R. innerhalb von 4 Stunden, spätestens nach 3 Tagen, wieder gelöscht. Hier finden Sie Informationen zu den dort gesammelten Daten und zu Sicherheit & Datenschutz bei CloudFlare.

Nutzung von Adobe Typekit

Auf dieser Webseite kommen der Dienst Typekit Webfons der Adobe Systems Software Ireland Ltd. zum Einsatz. Typekit stellt uns Schriftarten zur Verfügung. Zur Einbindung der von uns benutzten Schriftarten baut Ihr Browser eine Verbindung zu einem Server von Adobe auf, um die für unsere Website benötigte Schriftart herunterzuladen. Adobe erhält hierdurch die Information, dass von Ihrer IP-Adresse unsere Website aufgerufen wurde. Weitere Informationen zu Adobe Typekit finden Sie in den Datenschutzhinweisen von Adobe: www.adobe.com/de/privacy/policies/typekit.html

Terminbuchung über youcanbook.me

Wir nutzen den Dienst youcanbook.me zur vereinfachten Terminvereinbarung. Diese Funktionen werden angeboten durch die Firma YouCanBook.me Ltd., 38 Mill Street, Bedford, MK40 3HD, United Kingdom. Durch das Benutzen dieses Dienstes werden Ihre eingegebenen an youcanbook.me übertragen. Wenn Sie diese Verarbeitung Ihrer Daten nicht wünschen, dann nutzen Sie bitte einen anderen Weg zur Kontaktaufnahme bzw. Terminvereinbarung, z. B. per E-Mail oder Telefon. Weitere Informationen finden Sie in der Datenschutzerklärung von youcanbook.me unter https://youcanbook.me/privacy/. Die Bedingungen zur Nutzung dieses Dienstes findest du unter https://youcanbook.me/terms/.

Disclaimer: Die Informationen wurden nach dem besten Wissen und gewissen nach journalistischen Kriterien unabhängig recherchiert und mit persönlichen Erfahrungen ergänzt. Es werden Affiliate-Links verwendet, die jedoch keine Bewertung ausdrücken.

9 Comments

  1. FK 13. Mai 2018 um 13:31 Uhr - Antworten

    Danke für den Beitrag!
    Wie ist es bei einem komplett privaten nicht kommerziellen Blog? Muss ich da ein ein vollständiges Impressum angeben?

    • Markus Kämmerer 13. Mai 2018 um 16:51 Uhr - Antworten

      Die Rechtssprechung ist in diesem Punkt nicht so ganz eindeutig, vor allem da die Abgrenzung von privat zu nicht privat nicht trivial ist. Ich empfehle, immer ein Impressum zu verwenden.

  2. Vlad 14. Mai 2018 um 12:21 Uhr - Antworten

    Die Cookie-Meldung ist nicht neu und müsste daher schon auf jeder Seite laufen…

    Nein, in Deutschland gibt es ist keine Pflicht Cookie-Hinweis-Banner ausgeben zu lassen, außer man bindet Google AdSense ein:

    Cookie-Hinweis auf Webseiten: Quatsch oder Pflicht?
    TIPP der Woche: Cookie-Banner: Unnötig oder verpflichtend?
    Abmahngefahr durch Cookie-Banner

  3. Zip 15. Mai 2018 um 14:47 Uhr - Antworten

    Teilweise hganz schön halbgar…

    • Markus Kämmerer 15. Mai 2018 um 14:49 Uhr - Antworten

      Was genau würdest Du ändern? Wo genau ist es halbbar?

  4. Jil 16. Mai 2018 um 17:32 Uhr - Antworten

    Was ist mit Font Awesome? Die sind in meinem Theme integriert, kriegt man nicht raus. Muss ich ein neues Theme ausuchen? Danke!

    • Markus Kämmerer 16. Mai 2018 um 18:25 Uhr - Antworten

      Solange Font Awesome vom eigenen Server geladen wird, ist alles fein. Andernfalls trifft das gleiche wie für die Google Fonts zu – Du müsstest es dann mindestens in die DSE schreiben.

  5. Arnold Wender 18. Mai 2018 um 13:43 Uhr - Antworten

    Super Artikel, vorallem die Informationen für MailChimp haben mich weitergebracht, dafür danke!

    Arnold

  6. Daniel 19. Mai 2018 um 16:17 Uhr - Antworten

    Mal sehr schön und ohne Panikmache vieles rund um die DSVGO für WP-Nutzer zusammen gefasst. Habe selbst auch noch 2, 3 Baustellen – werde hier aber auch nicht in Panik verfallen …

    Die Checkbox in der aktuellen WP-Version verstehe ich nicht. Hier hätte ich etwas in der Art erwartet, dass mit dem Anhaken der Datenspeicherung und der DSE zugestimmt wird.

Hinterlassen Sie einen Kommentar

Newsletter zum Thema Orientierung in der digitalen Welt

Inhalt, Datenschutz, Analyse und Widerruf