GDPR – Eine Auswahl von Plugins, die helfen

Bildquelle: Pixabay, ShonEjai-1075665

Sinn Zweck, Folgewirkung

Seit datengetriebene Marketing-Aktivitäten das Internet überziehen, wird der Besucher getrackt, bespammt, von Popups genervt, seine Positionen in Verbindung mit Aktivitäten gebracht, Daten gesammelt und auch mal weiterverkauft. Viele wissen gar nicht mehr wie ihnen geschieht. Jeder Einzelne soll vor dem Missbrauch seiner persönlichen Daten besser geschützt sein, und mehr Kontrolle darüber haben, was in Händen Dritter mit seinen Daten geschieht.

Was ist mit persönlichen Daten gemeint?

Unter persönliche Daten fallen alle Informationen, die direkt oder indirekt Rückschlüsse auf die Identität einer Person zulassen könnten. Lässt sich eine Information mit Hilfe von Zusatzwissen einer Person zuordnen, handelt es sich also auch um ein persönliches Datum. Name, Telefonnummer, (E-Mail-)Adresse, Kundennummer, IBAN, Autokennzeichen oder die IP-Adresse mit der jemand eine Website besucht sind zum Beispiel von der Verordnung betroffene persönliche Daten.

Worauf bei der Verarbeitung personenbezogenen Daten zu achten ist

  • Rechtmäßigket der Verarbeitung (z.B. durch Zustimmung oder Erfordernisse oder berechtigte Interessen)
  • Angemessenheit, man braucht z.B. keine Datenerhebung die über die Zweckdienlichkeit hinaus geht
  • Transparenz, was bedeutet, bereit zu sein dem Betroffenen mitzuteilen, welche Daten man über ihn gespeichert hat
  • Zweckentsprechung, was bedeutet, Daten dürfen nur für den Zweck verarbeitet werden, zu dem sie erhoben wurden
  • Richtigkeit der Daten / Bereitschaft zur Richtigstellung
  • Schutz und Sicherheit der Daten, d.h. der Anbieter muss für lauschfreie Übertragung (z.B. TLS/SSLVerschlüsselung) und sichere Aufbewahrung der Daten sorgen
  • Löschungsfristen für Daten, da auch das Recht auf vergessen werden ein Bestandteil der Rechte Betroffener darstellt

Versteckter Datenaustausch auf Websites

Als Websitebetreiber weiß man, ob man YouTube Videos einsetzt, und dass hierfür eine Verbindung zu anderen Servern hergestellt wird. Doch was innerhalb eines CMS und seiner Komponenten und Templates alles jenseits des Offensichtlichen, wie Videos oder Maps, vorgeht, und wie weit das für den Datenschutz relevant ist, könnte übersehen werden.

Google Fonts und Script-Libraries

Manche Themes und Plugins kommen mit externen Libraries die via CDN (Content Delivery Network, ein Netz verteilter und über das Internet verbundener Server) geladen werden. Eine Vielzahl von Themes ist mit einer teilweise nicht unbeträchtlichen Auswahl von Google Fonts ausgestattet, die direkt vom Google-Server eingebunden werden.

Mit 100erten Google Fonts klingt zudem einfach besser als „Lade die Schriften die Du verwenden möchtest via FTP hoch und binde sie in der CSS-Datei Deines Themes (das natürlich ein Childtheme sein sollte, es sei denn, es wurde selbst entwickelt) ein“.

Jeder Server, der Ressourcen bereitstellt, benötigt dafür die IP-Adresse des Besuchers. Doch bei Google Fonts, Google Maps, YouTube-Videos etc. geht es darüber hinaus, denn sie werden von Tracking Cookies begleitet. D.h. Nutzeraktivitäten werden aufgezeichnet.

Funktionen und Plugins die kritisch sind

Vorsicht bei Plugins, die Anbindung an externe Dienste, vor allem außerhalb der EU vorsehen. Nicht (mehr) problematisch sind Plugins mit Diensten von Automattic, wie Akismet oder Gravatar (mit entsprechenden Hinweisein in der Datenschutzerklärung), da Automattic unter dem Privacy Shield Abkommen zertifiziert ist, womit das Unternehmen garantiert, sich an das europäische Datenschutzrecht zu halten.

WordPress-seitig kritisch ist die mit Kommentaren gespeicherte IP-Adresse. Das lässt sich einfach unterbinden (siehe Plugin-Empfehlungen). Wenige einfache Codezeilen entfernen die IP-Adresse noch vor dem Speichern in der Datenbank.

function mytheme_remove_comments_ip( $comment_author_ip ) { return '';} 
add_filter( 'pre_comment_user_ip', 'mytheme_remove_comments_ip' );

Um ggf. zu verhindern, dass IP-Adressen von Kommentatoren an den Gravatar-Server übertragen werden, empfiehlt sich, unter Einstellunge > Diskussion den Haken vor Avatare anzeigen zu entfernen.

Multi-Purpose Themes

Unter anderem sind Social-Share-Buttons ein Feature zahlreicher gekaufter Themes, die nicht datenschutzkonform sind. Es ist besser, sie in diesem Fall in den Theme-Einstellungen zu deaktivieren, und stattdessen ein datenschutzkonformes Plugin einzusetzen.

Kontrolle ist gut, Vertrauen ist besser

Falls Statistikdaten unverzichtbar sind wie wäre es mit Matomo (ehemals Piwik)? – Dabei handelt es sich um eine datenschutzfreundliche Alternative zu Google Analytics. Das gibt es entweder gehostet (und ist dann meist auch gleich für mehrere Websites verwendbar), man kann es selbst hosten. Die Voraussetzung ist ein guter Host mit einem leistungsstarken Datenbankserver ( z.B. webgo ), oder verwendet Matomo for WordPress.

Statisik-Plugins die Daten in der WordPress-Datenbank ablegen, sind vielleicht auch eine Option (vorher auf Datenschutzkompatibilität prüfen), allerdings eine, die ich eher nicht in Betracht ziehe, basierend auf Erfahrungen die schon länger zurückliegen, und so nicht mehr gelten müssen.

Manche Sicherheitsplugins bringen Einstellungen die IP-Adressen von Besuchern mit öffentlich zugänglichen Datenbeständen abgleichen um sie auf Spamverdacht zu prüfen, und damit Daten auf andere Server übertragen.

Plugins die helfen, die Privatsphäre zu schützen

Lazy Load for Videos
Dieses Plugin unterbindet das direkte Einbetten von Videos und zeigt nur ein Bild. Erst mit einem Klick auf den Abspielbutton starten Video und Tracking.

Remove Comment IPs
IP-Adressen in gespeicherten Kommentaren werden nach einer Sicherheitsfrist von 60 Tagen automatisch gelöscht.

Autoptimize
Auch hier geht es eigentlich um Performance. In den Einstellungen lässt sich unter dem Tab Extras das Laden von Google Fonts unterbinden.

Wer dennoch nicht auf Google Fonts verzichten möchte, google-webfonts-helper unterstützt mit fertigen Fontpaketen zum Download und CSS für das Childtheme-Stylesheet.

Shariff Wrapper
Originale Teilen-Buttons versenden auch dann automatisch Informationen der Website-Besucher an die sozialen Netzwerke wenn Inhalte gar nicht geteilt werden. Mit diesem Plugin passiert das nicht. Das Design der SVG-Buttons lässt sich flexibel anpassen.

Antispam Bee
Das vorinstallierte Akismet lässt sich leicht durch Antispam Bee ersetzen, allerdings ohne die öffentliche Spamdatenbank einzubeziehen (darauf müsste zumindest in der Datenschutzerklärung hingewiesen werden). Ebenfalls nicht aktiviert sein sollte die Einstellung, Kommentare nur in einer bestimmten Sprache zulassen.

WP GDPR Compliance
Ergänzt Kommentar- und Kontakformulare mit einem Zustimmungsfeld für die Einwilligung zur Verarbeitung der angegebenen Daten.

Selbstschutz durch Browser(-Einstellungen) zur Privatsphäre

Google Chrome am Laufen? Hat zwar auch Privatsphäre-Optionen…

Browser bieten Einstellungen zu Sicherheit und Datenschutz. Hier sind auch Cookie-Einstellungen zu finden. Cookies von Drittanbietern nicht zu akzeptieren unterbindet die Ablage von Cookies die nicht zur Domain gehören, auf der man grade ist. Je nach Browser gibt es weitere Einstellungen zum Schutz vor Aktivitätenverfolgung und Do Not Track.

Erweiterungen wie beispielsweise TrafficLight blockieren gefährliche Skripts und identifizieren Tracker, ohne das Surferlebnis unbillig zu beeinträchtigen. Ghostery

Schon lange auf der Welt, europäisch, und unverständlicherweise unterrepräsentiert ist Opera. Wofür man in anderen Browsern ein Plugin braucht, filtert er bereits gleich nach der Installation aus. Auch Tracking-Skripte werden blockiert. Wer es noch privater möchte, kann den kostenlosen VPN von Opera nutzen.

Das macht Opera nebenbei auch noch zu einem sehr performanten Browser, der Webseiten schneller rendert als die meisten anderen.

Bessere Performance

Ein Verzicht auf externe Ressourcen und Tracking macht ganz nebenbei die Website schneller. Das mag vielleicht sogar dazu führen, dass mehr Besucher auf die Site kommen und länger bleiben.

Bitte Kommentarfunktion nicht für Supportanfragen nutzen. Dem kann hier nicht entsprochen werden. Die Angabe einer E-Mail-Adresse und eines Namens ist nicht erforderlich. Einen (Spitz)-Namen zu nennen wäre aber doch nett.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Sowohl angegebener Name als auch E-Mail-Adresse (beides ist optional, dafür werden alle Kommentare vor Veröffentlichung geprüft) werden dauerhaft gespeichert. Du kannst jeder Zeit die Löschung Deiner Daten oder / und Kommentare einfordern, direkt über dieses Formular (wird nicht veröffentlicht, und im Anschluss gelöscht), und ich werde das umgehend erledigen. – Mit hinterlassenen Kommentaren hinterlegte IP-Adressen werden nach zwei Monaten automatisch gelöscht

publicly queryable