Wer auch die bisherigen gespeicherten IP-Adressen löschen möchte, kann auf das PlugIn „Remove Comment IPs“ zurückgreifen, es löscht IP Adressen nach 60 Tagen aus der Datenbank (so lange werden diese aus Anti-Spam-Gründen gespeichert)
Newsletter
Wer auf seiner Seite die Anmeldung zu einem Newsletter integriert hat und Aussendungen an die Abonnenten macht, sollte einige Dinge beachten. Zum einen sollte unbedingt das Double Opt-in Verfahren verwendet werden, das heißt der Benutzer bekommt zuerst eine Benachrichtigung per Mail zugeschickt, wo er erst auf einen Bestätigungslink klicken muß, damit die Anmeldung zum Newsletter erfolgreich ist. Für die Anmeldung sollte weiters nur die Eingabe der Email-Adresse ein Pflichtfeld sein und dieses Formular sollte wiederum eine Checkbox wie schon bei den Formularen enthalten, welches die Einwilligung des Nutzers einholt und auf die Datenschutzerklärung verweist.
Im Newsletter selbst sollte es natürlich jederzeit möglich sein, sich mit einem einfachen Klick wieder abzumelden bzw. sollte der Nutzer auf der Anmeldeseite auch über Zweck und Inhalt des Newsletters, Versandfrequenz und die gespeicherten Daten informiert werden.
Wenn Du für den Versand einen externen Dienst wie etwa Mailchimp oder SendinBlue nutzt, solltest Du mit dem Anbieter einen AV-Vertrag abschließen.
Social Media PlugIns und Sharing-Buttons
In den meisten Webseiten werden entweder Social Media PlugIns verwendet oder zumindest Sharing-Buttons um seine Inhalte besser in sozialen Netzwerken teilen zu können. Problematisch sind diese aber, da sie Verbindungen zu sozialen Netzwerken herstellen und Daten übertragenn, bevor der Nutzer überhaupt auf einen Teilen-Button geklickt hat. Bei vielen Themes sind die Share-Buttons bereits integriert, lassen sich aber in den meisten Fällen deaktivieren. Wir brauchen nämlich ein Lösung bei welcher erst dann Daten übertragen werden, wenn der Besucher die Share-Funktion auch nutzt. Im Netz findet sich dazu ein PlugIn, es nennt sich „Shariff-Wrapper„, welches genu diese Funktionalität bietet und mit fast jedem Theme zusammenarbeitet.
Bei allen anderen Social Media PlugIns, wie etwa die beliebten Facebook Like Boxen, würden wir vorerst von deren Einsatz abraten, bis es hier datenschutzkonforme Lösungen gibt. Auf jeden Fall sollte über den Einsatz von Social Media PlugIns und Sharing-Butons in der Datenschutzerklärung ein entsprechender Passus vorhanden sein.
Weitere WordPress Dienste wie Fonts, Gravatare oder YouTube Videos
Einige in WordPress integrierte Dienste oder von vielen Themes eingesetzte Services in WordPress sind datenschutzrechtlich ebenfalls zu hinterfragen, da sie Verbindungen in das Internet aufbauen und unter Umständen ungefragt Daten übertragen. Dazu gehören u.a. die folgenden:
Gravatare
Wer die Kommentarfunktion in seinem Blog aktiviert hat, wird sie sicher kennen, die Avatar-Bildchen der Nutzer. Dieses Service wird auch „Gravatar“ genannt und von Automattic betrieben, also dem Team der Betreiber von WordPress.com. Der Nutzer registriert sich mit einer bestimmten Email-Adresse bei diesem Service und hinterlegt ein Profilbild, welches dann automatisch bei einem Blogkommentar angezeigt wird. Dazu baut die Webseite aber eine Verbindung zu gravatar.com auf und übertragt Benutzerdaten.
Um nun nach derzeitigem Stand sicher zu gehen, hier datenschutzkonform zu sein, müßte man die Anzeige von Avataren in WordPress deaktivieren, das geht unter Einstellungen > Diskussion > Avatare. Einzige Lösung um trotzdem Profilbilder zu verwenden, wäre ein entsprechendes PlugIn zu verwenden, welches lokale Profilbilder erlaubt, während Gravatar deaktiviert ist wie zum Beispiel „WP User Avatar„.
Emojis
Auch die beliebten kleinen gelben Smileys werden von WordPress nicht lokal geladen, sondern von Servern extern geladen, womit schon wieder Daten übertragen werden.Diese Emojis kann man auf verschiedene Art loswerden, zum einen über das Plugin „Disable Emojis“ oder über das eine oder andere Caching- oder Optimierungs-PlugIn wie etwa „Autoptimize„, welches nebenbei erwähnt noch allerhand andere Optimierungen bei WordPress vornehmen kann um bessere Ladezeiten zu erreichen. Eine letzte Möglichkeit wäre dann manuell einzugreifen und einen entsprechenden Code in der functions.php
zu hinterlegen.
Google Webfonts
Wer die schönen Google Webfonts einsetzt, dem muß klar sein, das Laden der Webseite und beim Abrufen der Schrift eine Verbindung zum Google Font-Server hergestellt und dabei die IP-Adresse des Users übertragen wird. Viele der im Netz angebotenen Themes haben aber zumeist die Google Webfonts standardmäßig integriert. Google wird sich vermutlich im eigenen Interesse etwas einfallen lassen, damit die Fonts datenschutzkonform eingebunden werden können, bis dahin der einzig sichere Weg wäre die verwendeten Fonts herunterzuladen um diese am eigenen Server unterzubringen.
Diese Lösung ist nicht ganz trivial, aber es gibt im Netz bereits einige Anleitungen wie man das bewerkstelligen kann, wie z.B. von den Netzialisten oder bei t3n nachzulesen ist.
Einbetten von YouTube Videos
Wer etwa YouTube Videos auf seiner Webseite einbettet, sei es direkt im Beitrag per <embed> Code über iFrames oder auch ein entsprechendes Video-Modul des verwendeten Themes, sollte wissen das YouTube ebenfalls Cookies setzt. Dieses wird schon beim Aufruf der Seite gesetzt, ohne das der Benutzer das Video überhaupt abspielen muß. Nun gibt es von YouTube allerdings auch erweiterte Datenschutzfunktion und damit die Möglichkeit Inhalte einzubinden, ohne dass automatisch ein Cookie gesetzt wird.
Wer also ein Video auf der Website einbetten möchte, setzt beim Einbetten-Code von YouTube das Häkchen „Erweiterten Datenschutzmodus aktivieren“. Dadurch verändert sich im eingebetteten Code des Videos die URL youtube.com
auf youtube-nocookie.com
. Youtube wird dann nicht mehr standardmäßig ein Cookie setzten, sondern erst, wenn der Benutzer das Video abspielt. Sollte das Integrieren von Videos bei eurem verwendetem Theme anders gelöst, ist es unter Umständen notwendig den entsprechenden Template-Code zu modifizieren oder über eine zusätzliche Funktion in der functions.php
die URL ersetzen zu lassen.
Ein Hinweis in der Datenschutzerklärung über die obigen Dienste, sofern sie auf der Webseite verwendet werden, sollte natürlich eingefügt werden.