Support » Allgemeine Fragen » WordPress nicht datenschutzkonform?

  • timwerner

    (@timwerner)


    Das ganze Thema mit Akismet und Google Analytics finde ich schon lange ausgelutscht. Wer datenschutzkonform seine Kommentare auf Spam hin überprüfen lassen will, benutzt ganz einfach AntiSpamBee von Sergej. Als datenschutzkonforme Tracking-Software kann Piwik zusammen mit dem AnonymizeIP-Plugin eingesetzt werden. Nun sind mir aber letztens beim Durchstöbern der WordPress-Datenbank zwei ganz andere Probleme aufgefallen.

    So wird bei den meisten Blogs eine Angabe der E-Mail-Adresse zum Kommentieren verlangt. Zusätzlich protokolliert WordPress immer die IP-Adresse des Kommentators. Die fragwürdigen Spalten comment_author_email und comment_author_ip finden sich in der Tabelle wp_comments.

    Rechtlich gesehen müsste man die Kommentatoren vor dem Abgeben eines Kommentars darüber aufklären, dass die E-Mail- und/oder IP-Adresse im Klartext und dementsprechend nicht anonymisiert gespeichert werden. Das müsste wie z.B. bei Onlineshops über eine Datenschutzerklärung sowie eine Checkbox, die standardmäßig deaktiviert und dementsprechend von dem Besucher anzukreuzen ist, erfolgen.

    Die IP-Adressen zu anonymisieren sollte kein Problem darstellen, die braucht WordPress meines Erachtens nach nicht. Blöderweise kann man bei WordPress nur die Angabe eines Benutzernamens zusammen mit einer Angabe der E-Mail-Adresse erzwingen. Der Punkt findet sich in der WordPress-Administration unter Einstellungen » Diskussion » Benutzer müssen zum Kommentieren Name und E-Mail-Adresse hinterlassen.

    Hinzu kommt, dass Plugins zur automatischen Benachrichtigung bei neuen Kommentaren wie z.B. Subscribe to Double-Opt-In Comments ebenfalls sehr beliebt sind. Auch hier wäre eine Aufklärung des Benutzers aus meiner Sicht aus Datenschutzgründen erforderlich.

    Und damit nicht genug: zwar machen sich viele Leute Gedanken über Google Analytics und Akismet, setzen dementsprechend Tools ein, die datenschutzkonform sind, aber bedenken nichtmal die Grundlage einer Webseite: den Webserver. Dieser protokolliert auch in den allermeisten Fällen personenbezogene Daten (die IP-Adresse), sofern man dies nicht deaktiviert.

    Doch was tun? E-Mail- und IP-Adressen kann man anonymisieren oder löschen. Ebenso kann man das Protokoll des Webservers deaktivieren (sofern man den Server selber administriert) und bereits angelegte Log-Dateien löschen. Bei automatischen Benachrichtigungen zu neuen Kommentaren müsste man den Besucher meines Wissens nach darüber aufklären, dass seine E-Mail-Adresse gespeichert wird. Oder kann man hier grundsätzlich davon ausgehen, dass der Besucher aufgrund des Aktivierungstextes davon Kenntnis haben sollte, dass die E-Mail-Adresse hinterlegt wird?

    Was meint ihr zu der ganzen Problematik?

Ansicht von 2 Antworten - 1 bis 2 (von insgesamt 2)
  • Moderator Bego Mario Garde

    (@pixolin)

    Hallo @timwerner und willkommen im Forum,

    vorab: Du hast als Profilnamen scheinbar deinen richtigen Namen verwendet. Dagegen ist nichts einzuwenden, aber ich möchte dich vorsorglich darauf hinweisen, dass wir (Moderatoren im deutschsprachigen Forum) den von dir gewählten Profilnamen nicht ändern oder löschen können.

    Ansonsten … wir können dir hier gerne bei Anwendungsfragen helfen, aber ich bin kein Jurist und kann dir deshalb auch nicht verbindlich Rechtsfragen beantworten. Eine laienhafte Interpretation hilft hier auch den wenigsten weiter und stiftet eher noch weitere Verwirrung.

    Ich nehme an (womit wir schon bei laienhaften Interpretationen sind), dass die vorübergehende Speicherung von E-Mail und IP-Adresse aus einem berechtigtem Interesse der Nachverfolgung bei Missbrauch erfolgt und deshalb auch mit der DSGVO konform ist. Am besten besprichst du das aber mit deinem Anwalt.

    Das Plugin Akismet entspricht auch nach meinen (hatte ich schon erwähnt: laienhaften) Erkenntnissen nicht deutschem Datenschutzrecht, aber es gibt Alternativen wie AntispamBee zur Spam-Abwehr und Statify zur statistischen Auswertung. Generell zu behaupten, WordPress sei nicht datenschutzkonform, ist wohl etwas zu weit gegriffen.

    alfredx

    (@alfredx)

    Ich habe auch schon über den Datenschutz nachgedacht und habe mich einfach dazu entschieden, dass der Benutzer mir sämtliche Rechte bei der Benutzung meiner Website und meiner Dienste automatisch abtritt oder er mir eine nicht exclusive Lizenz für die Bearbeitung und Verbreitung seiner Daten gibt. (Analog Youtube)…

    Ist das Okay so?

    Das DSVGO Gedöns behindert einfach jeden! Auch den kleinen Mann wie mich!! :(!

Ansicht von 2 Antworten - 1 bis 2 (von insgesamt 2)
  • Das Thema „WordPress nicht datenschutzkonform?“ ist für neue Antworten geschlossen.