WordPress nicht datenschutzkonform?

Das ganze Thema mit Akismet und Google Analytics finde ich schon lange ausgelutscht. Wer datenschutzkonform seine Kommentare auf Spam hin überprüfen lassen will, benutzt ganz einfach AntiSpamBee von Sergej. Als datenschutzkonforme Tracking-Software kann Piwik zusammen mit dem AnonymizeIP-Plugin eingesetzt werden. Nun sind mir aber letztens beim Durchstöbern der WordPress-Datenbank zwei ganz andere Probleme aufgefallen.

So wird bei den meisten Blogs eine Angabe der E-Mail-Adresse zum Kommentieren verlangt. Zusätzlich protokolliert WordPress immer die IP-Adresse des Kommentators. Die fragwürdigen Spalten comment_author_email und comment_author_ip finden sich in der Tabelle wp_comments.

Rechtlich gesehen müsste man die Kommentatoren vor dem Abgeben eines Kommentars darüber aufklären, dass die E-Mail- und/oder IP-Adresse im Klartext und dementsprechend nicht anonymisiert gespeichert werden. Das müsste wie z.B. bei Onlineshops über eine Datenschutzerklärung sowie eine Checkbox, die standardmäßig deaktiviert und dementsprechend von dem Besucher anzukreuzen ist, erfolgen.

Die IP-Adressen zu anonymisieren sollte kein Problem darstellen, die braucht WordPress meines Erachtens nach nicht. Blöderweise kann man bei WordPress nur die Angabe eines Benutzernamens zusammen mit einer Angabe der E-Mail-Adresse erzwingen. Der Punkt findet sich in der WordPress-Administration unter Einstellungen » Diskussion » Benutzer müssen zum Kommentieren Name und E-Mail-Adresse hinterlassen.

Hinzu kommt, dass Plugins zur automatischen Benachrichtigung bei neuen Kommentaren wie z.B. Subscribe to Double-Opt-In Comments ebenfalls sehr beliebt sind. Auch hier wäre eine Aufklärung des Benutzers aus meiner Sicht aus Datenschutzgründen erforderlich.

Und damit nicht genug: zwar machen sich viele Leute Gedanken über Google Analytics und Akismet, setzen dementsprechend Tools ein, die datenschutzkonform sind, aber bedenken nichtmal die Grundlage einer Webseite: den Webserver. Dieser protokolliert auch in den allermeisten Fällen personenbezogene Daten (die IP-Adresse), sofern man dies nicht deaktiviert.

Doch was tun? E-Mail- und IP-Adressen kann man anonymisieren oder löschen. Ebenso kann man das Protokoll des Webservers deaktivieren (sofern man den Server selber administriert) und bereits angelegte Log-Dateien löschen. Bei automatischen Benachrichtigungen zu neuen Kommentaren müsste man den Besucher meines Wissens nach darüber aufklären, dass seine E-Mail-Adresse gespeichert wird. Oder kann man hier grundsätzlich davon ausgehen, dass der Besucher aufgrund des Aktivierungstextes davon Kenntnis haben sollte, dass die E-Mail-Adresse hinterlegt wird?

Was meint ihr zu der ganzen Problematik?