Tipps für einen DSGVO-konformen Blog

Symbolbild DSGVO

Die DSGVO ist in aller Munde. Ich muss mich nicht nur für den Blog damit beschäftigen, sondern auch für die Arbeit. Im Rahmen meiner Blog-Anpassung habe ich einmal alles zusammengetippt, was ich so gefunden und welche Einstellungen ich vorgenommen habe. Diese Liste mit einigen Linktipps richtet sich speziell an WordPress-Betreiber. Ich habe meine Installation genau betrachtet und noch ein paar weitere Punkte hinzugefügt, die ich interessant fand. Dabei erhebe ich allerdings keinen Anspruch auf Vollständigkeit! Guckt euch auf jeden Fall weiter um (z.B. auf den verlinkten Seiten) und prüft am besten eure ganze Installation und jedes einzelne Plugin nochmal kritisch.

Aber: Die Anpassung an die DSGVO ist kein Hexenwerk. Für diesen Beitrag habe ich nun länger gebraucht als für die Anpassungen selber. Macht euch also nicht verrückt.

Alle WordPress-Plugins prüfen

Viele Plugins speichern Daten, insbesondere die Security-Plugins, um gegen Spamattacken u.ä. zu schützen. Daher prüft am besten eure gesamte Plugin-Liste von vorne bis hinten. Wenn ihr euch nicht sicher seid und keine Infos zum Thema Datenverarbeitung findet: Deaktiviert es. Zumindest wäre das mein Rat.

Bei Blogmojo findet ihr eine hilfreiche Liste mit vielen bekannten Plugins. Da könnt ihr prüfen, was unbedenklich ist und was lieber fliegen sollte. Viele der Plugin-Anbieter haben aber bereits angekündigt, dass sie ihre Erweiterungen an die DSGVO anpassen wollen.

Kommentare mit IP-Adressen anonymisieren

WordPress speichert bei Kommentaren die IP-Adresse. Das kam für mich tatsächlich überraschend, dieses Problem bewältigt man aber mit zehn Minuten Zeitaufwand. Hier der kleine Ablaufplan:

  1. Zunächst müssen die bestehenden IP-Adressen in der Datenbank gelöscht werden. Dies geschieht händisch oder mithilfe eines einfachen Scripts. Macht vorher aber lieber ein Backup der Datenbank.
  2. Die kommenden Kommentare werden über eine Änderung in der functions.php oder mithilfe eines Plugins angepasst. Für die Anpassung in der functions.php müsst ihr unbedingt im Childtheme arbeiten, denn sonst ist die Anpassung mit dem nächsten Theme-Update dahin. Mir ist die Variante dennoch lieber als ein zusätzliches Plugin, was am Ende auch nichts anderes macht.

Eine gute Anleitung für das Prozedere, nach der ich vorgegangen bin, findet ihr bei den WP-Ninjas. Die dort angegebenen Skripte habe ich getestet, sie funktionieren einwandfrei.

Google Fonts deaktivieren

Viele Themes verwenden Google Fonts. Absolut verständlich, denn es handelt sich dabei um eine einfache und schöne Lösung. Aber – natürlich gibt es ein aber – Google trackt leider einiges mit, wenn sich ein Besucher auf einer Seite herumtreibt und die Schrift  auf dem Browser lädt. Ärgerlich und definitiv nicht konform mit der DSGVO. Was nun?

Am besten prüft ihr zunächst, ob ihr überhaupt Google Fonts auf eurer Seite einsetzt. Das könnt ihr sehr einfach über Chrome machen. Öffnet via F12 den Inspector und geht auf Sources. Wenn ihr Google Fonts verwendet, taucht es auf der Liste auf. Das könnt ihr auch gut an meinem Beispiel sehen.

Wie geht ihr nun vor? Es gibt zwei Varianten:

  1. Google Fonts komplett deaktivieren. Diesen Weg bin ich gegangen. Größtenteils arbeite ich sowieso mit Standardschriften. Dafür gibt es ein kleines Script, das in die functions.php eingefügt werden kann (verwendet dafür ein Childtheme, sonst sind die Änderungen mit dem nächsten Theme-Update dahin). Allerdings muss man dafür den Namen des Themes kennen. Eine Anleitung findet ihr hier: https://technumero.com/remove-google-fonts-from-wordpress-theme/ Alternativ gibt es natürlich auch hierfür Plugins, die ebenfalls in dem verlinkten Artikel genannt werden.
  2. Google Fonts auf der eigenen Website einbinden. Das bedeutet, dass die Schriften direkt von eurem Server und nicht vom Google-Server geladen werden. Aber: Hier müsst ihr genau auf die Lizenz gucken. Außerdem solltet ihr das TrueType-Format, das zum Download zur Verfügung steht, in verschiedene Web Fonts umwandeln. Mit dem Google Webfont Helper geht das aber ganz einfach. Mehr Infos findet ihr bei WP-Ninjas.

Social-Media-Verweise prüfen

Bei Social Media müsst ihr nochmal genau hinschauen: Habt ihr irgendwo Follow-Buttons, die tatsächlich einen Mechanismus auslösen, solltet ihr diese schnell von der Seite nehmen. Der Grund: Die Social-Media-Dienste tracken über diese Buttons eingeloggte Nutzer. Darum müssen auch viele Social-Media-Plugins weichen. Ich persönlich habe zum Glück keine Buttons, die es betreffen würde – mein Verweis auf Instagram hat keine Funktion. Guckt bei euch trotzdem sicherheitshalber einmal nach.

Das einzige Plugin, was erst nach Klick auf den jeweiligen Button mit dem Tracking beginnt, ist Shariff Wrapper. Es wurde mittlerweile auch aktualisiert und läuft bei mir ganz hervorragend. Also ab zu den DSGVO-konformen Social-Media-Buttons.

Newsletter-Anmeldungen verwalten

Das Prozedere ist eigentlich nicht neu, aber solltet ihr einen Newsletter anbieten, setzt ihr am besten auf ein Double-Opt-In-Verfahren. Das bedeutet, dass der Nutzer nach dem Eintragen für den Newsletter den Wunsch nochmal bestätigen muss. Das geschieht, indem ihm ein Link per Mail zugeschickt wird. Ich persönlich habe keinen Newsletter und habe mich damit nicht ausführlich mit dem weiteren Prozedere oder geeigneten Plugins auseinandergesetzt. Meines Wissens nach müsst ihr aber von jedem Newsletter-Abonnent die Bestätigung aufbewahren, dass er dem Empfang von Newslettern zustimmt. Mehr Infos bekommt ihr bei Online-Marketing-Experten. Auch dieser Artikel von Mailjet wirkt auf mich ganz brauchbar. Kerstin Paar schreibt ebenfalls dazu ein bisschen was aus Bloggerperspektive.

Tracking-Dienste DSGVO-konform verwenden

Um beispielsweise Google Analytics DSGVO-konform zu nutzen, bedarf es drei Schritte:

  1. IP-Adressen anonymisieren (sollte schon in der Vergangenheit geschehen sein)
  2. Opt-Out zur Verfügung stellen
  3. Vertrag über Auftragsvereinbarung abschließen

Bindet man Google Analytics auf seiner Website ein, gibt es zahlreiche Plugin-Anbieter, die einem das Leben einfacher machen. Ich habe mich nun von meinem alten Plugin verabschiedet und bin zu Google Analytics Germanized gewechselt. Das Plugin bietet einige Vorteile: Zum einen ist es so voreingestellt, dass Google Analytics definitiv DSGVO-konform genutzt wird. Zum anderen bietet es einen Opt-Out-Link an, der in die Datenschutz-Seite eingebunden werden kann. Außerdem bietet es noch einen Cookie-Hinweis an – ich konnte also gleichzeitig ein weiteres Plugin deaktivieren.

Auch bei anderen Trackingdiensten (z.B. Piwik) sollte auf das Opt-Out geachtet werden. Alternativ verabschiedet man sich von dem ausführlichen Tracking und wechselt von einem von vornherein datenschutzkonformen Anbieter. Britta Kretschmer von Internetkurse Köln empfiehlt zum Beispiel Statify. Ich teste das Plugin gerade parallel und gucke, ob mir die Ausgaben reichen. Wer doch mehr Funktionen wünscht, sollte seinen Trackingdienst nochmal auf Herz und Nieren prüfen.

Nun zum letzten Punkt: Wenn man Google nutzt, muss man für jede Website außerdem einen Vertrag über Auftragsverarbeitung abschließen. Dafür müsst ihr den „Zusatz zur Datenverarbeitung“ ausfüllen. Wo ihr den genau findet, erklärt euch Google. Das Formular müsst ihr ausfüllen und an Google schicken. Mehr Infos findet ihr dazu auch bei Dr. Schwenke.

Gravatar und Smileys checken

Ich liebe Gravatar und möchte auf die Profilbilder bei Kommentarschreibern ungerne verzichten. Leider schickt auch Gravatar im Hintergrund einige Daten hin und her und beißt sich damit mit der DSGVO. Es ist möglich, einen entsprechenden Hinweis in der Datenschutzerklärung zu integrieren – aber ob das reicht? Sicherheitshalber deaktiviere ich Gravatar, bzw. die ganzen Avatare erst einmal und schalte sie dann bei Zeiten vielleicht wieder frei. Deaktivieren kann man die Anzeige hier:

Ich persönlich entferne das Häckchen bei „Avatare anzeigen“ – lieber keine Avatare als komische Avatare oder nur teilweise Avatare.

Ähnlich verhält es sich mit den Emojis, die in Posts und Kommentare eingebaut werden können. Auch diese werden über US-Server abgerufen und sind damit ebenfalls nicht DSGVO-konform. Hier gibt es entweder Plugins (z.B. Disable Emojis), mit denen man sie deaktivieren kann oder man nutzt einen Code in der functions.php. Meinen Code habe ich bei Kulturbanause gefunden.

Externe Inhalte (wie YouTube-Videos) sicher einbinden

Bindet ihr manchmal YouTube-Videos in eure Beiträge ein? Das ist ebenso wie bestimmte Social-Media-Buttons ein Problem mit der DSGVO. Denn Daten von eingeloggten Nutzern können so an YouTube (oder andere Anbieter wie Vimeo, Soundcloud, etc.) übertragen werden. Die sicherste Variante ist wohl, die Videos nicht einzubetten, sondern nur mit einem Link darauf zu verweisen. Das ist funktional, aber nicht sonderlich schön.

In jedem Fall solltet ihr YouTube-Videos im erweiterten Datenschutzmodus einbetten (Teilen ⇒ Einbetten ⇒ Mehr anzeigen ⇒ Erweiterten Datenschutzmodus aktivieren). Es gibt zwei Plugins, die sogar noch besser arbeiten: YouTube Lyte und Embed videos and respect privacy. Bei beiden Plugins werden die Videos erst geladen, wenn der Nutzer auf den Play-Button klickt. Das letzte Plugin speichert dabei auch noch das Vorschaubild auf eigenen Servern zwischen. Mehr Infos gibt es bei Blogmojo.

Bindet ihr nicht nur YouTube-Videos ein, sondern auch Inhalte von anderen Anbietern, solltet ihr euch einmal schlau machen, was es dazu gibt. Für YouTube gibt es natürlich die meisten Empfehlungen und Entwicklungen.

Bilder prüfen

Mit der DSGVO muss auch ein kritischer Blick auf Blogbilder geworfen werden. Ich verwende grundsätzlich nur selbstgemachte Fotos, daher dürfte es für mich nicht im Sinne der Veröffentlichung kritisch werden. Allerdings habe ich Fotos von Veranstaltungen geteilt. Konnte ich früher davon ausgehen, dass eine Buchmesse als öffentliches Ereignis gemäß des KunstUrhG betrachtet wird und somit Fotos von Veranstaltungen kein Problem darstellen, fange ich nun an zu zweifeln. Man könnte meine Blogartikel nun als journalistische Verarbeitung interpretieren, ist das aber nicht der Fall, zählen Fotos als persönliche Daten und die abgebildeten Personen müssen ihre Einwilligung erteilen. Hm. Ich bin mir noch unsicher, ob ich die Buchmesse-Fotos nun rauslösche oder erst einmal drin lasse. Mehr Infos zu dem Thema findet ihr bei Morgenstern oder Fotorecht Seiler.

SSL-Verbindung einrichten

Falls ihr es noch nicht getan habt, solltet ihr zeitnah auf eine SSL-Verschlüsselung umstellen. Bei meinem Anbieter (all-inkl) geht das kostenlos, daher bin ich vor einiger Zeit diesen Schritt gegangen. Aber auch wenn es nicht kostenlos ist, richtet das Zertifikat unbedingt ein. Dies ist nicht erst seit der DSGVO ein Thema, die Pflicht für verschlüsselte Seiten (vorausgesetzt, es werden personenbezogene Daten erhoben) besteht bereits seit 2016. Erkundigt euch bei eurem Hoster, was euch ein Zertifikat kostet und wie ihr es einbindet. Das hat außerdem noch positive Auswirkungen auf euer Suchmaschinen-Ranking, denn unverschlüsselte Seiten werden gnadenlos abgestraft.

Formulare mit Datenschutzhinweis versehen

Habt ihr ein Kontaktformular oder ein andere Formular (Newsletter) auf eurer Website, müsst ihr dort unbedingt eine Checkbox hinzufügen, die eine Zustimmung zu den Datenschutzbestimmungen einholt. Unter dem Kontaktformular muss außerdem eine Erklärung stehen, wie die Daten verwendet werden. Auch über das Widerrufsrecht muss an der Stelle aufgeklärt werden. Mehr Informationen findet ihr bei Klaus Oppermann.

Datenschutzerklärung aktualisieren

Und nun zuletzt der wichtigste Schritt: Die Aktualisierung der Datenschutzbestimmungen. Es hat sich einiges geändert, also los zum nächsten Generator. Es gibt einige verschiedene im Angebot, die für Privatpersonen kostenlose Datenschutzbestimmungen bereitstellen. Bisher war ich bei e-recht24.de. Aber auch Dr. Schwenke hat einen schönen Generator, den ich nun nutzen werde.

Der Datenschutz-Link muss mit einem Klick auf eurer Website erreichbar sein. Guter Hinweis an dieser Stelle: Achtet darauf, dass euer Cookie-Banner nicht den Link zu Datenschutz & Impressum verdeckt. Das kann schnell passieren! Beinhalten muss die Erklärung Informationen darüber, welche Daten wo erhoben und verarbeitet werden und ob diese an Dritte weitergegeben werden. In diesem Fall braucht ihr ein Opt-Out. Auch ein Ansprechpartner muss hier aufgeführt sein.


Mit diesen Anpassungen habe ich es geschafft. Seid ihr Shopbetreiber oder ähnliches erwarten euch wohl noch einige weitere To Dos. Aber es gibt mittlerweile so viele Anleitungen und Tipps und Tricks im Internet, dass ihr mit Sicherheit für jeden Einsatz eine Lösung findet.

Für mich hat sich nicht viel verändert. Ein paar Plugins haben mich verlassen, andere sind neu dazugekommen. Ich trauere lediglich Gravatar hinterher. Das ist wirklich schade. Aber vielleicht gibt es dafür auch bald eine Lösung, wer weiß. Viel Erfolg beim Anpassen eurer Blogs!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.