Zur Unterstützung bei der Umsetzung der DSGVO gibt es viele Plugins, die dolles versprechen. Und noch mehr Plugins, die behaupten, kompatibel zu Datenschutzgesetzen zu sein (welches, wird dann bei einigen Plugins dann nicht genannt).
Zur Umsetzung der DSGVO gibt es bereits etliche Blogartikel. Ich will da nicht noch einen drauf setzen, der sich mit den Inhalten der Verordnung auseinander setzt. Stattdessen schreibe ich etwas konkretes für Betreiber von WordPress-Websites.
Empfehlungen
- Weniger ist mehr.
Gute Themes lassen eine Seite auch vollständig ohne Plugins laufen. Content ist King. Und Themes liefern den Content in schöner Art und Weise aus. Plugins ergänzen nur mit Funktionen. Aber es sollte auch völlig ohne diese gehen. - Wenn Plugins, dann sollte man sich beschränken auf das Notwendigste.
Dies nicht nur wegen Datenschutz, sondern auch wegen Barrierefreiheit und Performance. Viele Plugins taugen da nämlich nichts. Nicht wenige Plugins laden zudem die jQuery Bibliothek oder Schriften von Google. Mit dem besch…eidenen Argument, dies wäre besser für die Performance. - Folgende Plugins sind meistens ausreichend:
- Sharif Wrapper (zur datenschutzfreundlichen Einbindung von Social Media Share Links). https://de.wordpress.org/plugins-wp/shariff/
- Imsanity zur Herunterskalierung von großen Bildern. https://de.wordpress.org/plugins/imsanity/
- Contact Form 7 für Formulare. https://de.wordpress.org/plugins/contact-form-7/ Ggf. mit der Ergänzung von Accessibility Defaults. https://de.wordpress.org/plugins/contact-form-7-accessible-defaults/ .
- Plugins, deren Einsatz man besser überdenken sollte
- Ihr braucht nicht das Plugin “WP GDPR Compliance”.
Dieses Plugin ergänzt das Formular um eine simple Checkbox und einen Link auf eine Datenschutzerklärung. Das ist dämlich, weil man eben in Contact Form 7 selbst das Formular baut und damit eben auch Checkboxen und Links zu Seiten.
Noch mehr: Wer ein Formular zur Eingabe von Kontaktinfos macht, der muss ohnehin beschreiben welche Daten er davon wofür braucht, auf welcher Grundlage und zu welcher Dauer, sowie mit welchen Widerrufsmöglichkeiten. Das WP GPR Compliance führt den Webmaster einer Site auf dem Holzweg, weil es diesen glauben lässt, damit allem genüge getan zu haben. Das ist falsch. Denn das Plugin kann natürlich nicht erraten oder via Spooky KI ermittel, welche Daten ihr im Formular eingeben lässt und zu welchen Zwecken dies geschieht.
Diese Infos müsst ihr selbst dazu schreiben und dokumentieren. - Schmeisst eure Piwik-/GA-Tracker weg, wenn ihr sie nicht (mehr) benutzt.
Wenn die Daten einer Analyse nicht genutzt werden, bzw. deren Ergebnisse keinerlei Widerhall in der Art der Publikation eurer Seite haben, dann haut das Zeug weg! Ihr sammelt da nur unnötig Daten. Wenn, aus welchen Gründen auch immer, doch jemand dran kommt, der da nicht dran sollte, habt ihr den dafür den Weg bereitet. Also weg mit dem Zeug.
Nur dann, wenn diese Tracker tatsächlich bei der täglichen Öffentlichkeitsarbeit benutzt werden und einen Einfluss in Art und Weise der Öffentlichkeitsarbeit haben, dann sind sie legitim. - In der neuen WordPress Version wird eine Muster für ein eine Datenschutzerklärung “skizziert”. Werft das in die Tonne. Nutzt lieber einen Generator wie den von Schwenke (https://datenschutz-generator.de/ ). Konkret: Vertraut nicht blind irgendeinem Generator, sondern prüft auch das Erzeugnis. Lest das durch! Es gibt einige Generatoren, die als Datenschutzbeauftragten Herrn “Martin Mustermann” aus Musterstadt nennen. Werdet nicht zum Dummbatz Klickschnell, der das nicht sieht.
- Installiert nicht irgendeinen Cookie-Hinweis-Plugin, welches gut klingt. Prüft doch erstmal ob ihr überhaupt Cookies für normale nicht angemeldete User anwendet! Wenn eure Website nur und einzig und allein dann Cookies setzt, wenn ein optionales Kommentarfeld ausgefüllt wird, dann ist es unnötig ein Cookiehinweis vor der gesamten Website zu setzen! Dies ist sogar verwirrend und irreführend.
Stattdessen reicht es, wenn der Cookiehinweis genau an der Stelle kommen, wo auch Cookies verwendet werden. Da vor Eingabe der Daten noch gar kein Cookie gesetzt wurde, würde der Hinweis davor erscheinen. und mit den Hinweis holt ihr euch die Bestätigung. Im Fall der Nutzung des Themes Pirate Roque gibt es im Customizer extra ein Texteingabefeld um solche Hinweise anzugeben. Andere Themes bieten ebenfalls so etwas an. Nutzt diese und gebt dort den klaren Hinweis auf Cookies und legt dort den Link auf die Datenschutzerklärung. In der Datenschutzerklärung habt ihr dann den allgemeinen Passus zu Cookies den der Schwenke-Generator machte.
- Ihr braucht nicht das Plugin “WP GDPR Compliance”.
Disclaimer
Das sind alles private Empfehlungen.
Im Usenet würde man noch diese Abkürzung ergänzen IANAL. („I am not a lawyer“). Ich bin in der Tat kein Anwalt. Aber dafür kenne ich mich mit dem Betrieb von Websites aus.