WordPress und die DSGVO
-
Guten Tag,
ich bin Webdesigner und arbeite seit ca. 10 Jahren mit WordPress. Am 25. 5. tritt die DSGVO in der EU in Kraft und vieles was vorher rechtlich unbedenklich war, wird in Zukunft nicht mehr möglich sein. Z. B. senden viele Themes und/ oder Plugins die IP-Adresse der Seitenbesucher an Dritte. Das wird ab dem 25. 5. nicht mehr erlaubt sein.Meine Frage ist, ob es möglich wäre in Zukunft im Plugin und im Theme-Repository einen Button zu haben, der sagt, dass ein Plugin der DSGVO entspricht. Das wäre natürlich rechtlich sehr erfreulich, denn als Webdesigner hafte ich für die von mir erstellten Seiten. Wenn WP so ein Feature anbietet, wäre es zudem ein tolles Signal und würde WP noch populärer machen.
Wenn mir jemand sagen kann, wie und ob so ein Feature umgesetzt werden kann, würde ich gerne auch daran mitarbeiten. In dem Fall freue ich mich über eine Nachricht, an wen ich mich mit meiner Idee konkret wenden soll.
Danke!
Raphael
-
Hallo Raphael,
ich bin kein Jurist und kann dich auch nicht rechtlich beraten.
Nach meinem Wissen als juristischer Laie war es allerdings auch vorher nach unserem Datenschutzgesetz nicht erlaubt, persönliche Daten (dazu gehört wohl sogar die IP-Adresse) an Dritte weiterzugeben, weshalb z.B. deutschen Anwendern immer wieder geraten wurde, auf das Antispam-Plugin Akismet oder Plugins zum (unbeabsichtigten) Teilen von Informationen auf Sozialen Netzwerken zu verzichten. Nach meinen Informationen sind viele Vorgaben der DSGVO für uns gar nicht so neu.
Ob eine Änderung im Repository möglich und sinnvoll ist, können wir hier im Support-Forum nicht klären. Dazu müsstest du dich bitte an das Meta-Team wenden und im Blog einen entsprechenden Vorschlag veröffentlichen. Die Teilnehmer des Supportforums hier versuchen, dir bei Anwendungsfragen weiterzuhelfen; für Änderungen am Plugin-Repository sind wir der falsche Ansprechpartner.
Ich bezweifele auch, ob die von dir vorgeschlagene Änderung sinnvoll ist, weil Plugin-Entwickler hier eine – ggf. von Regelungen in ihrem eigenen Land abweichende – verbindliche juristische Aussage treffen müssten. Das ist aber nur meine ganz subjektive Einschätzung und soll dich nicht davon abhalten, einen entsprechenden Vorschlag zu machen.
Übrigens laufen inzwischen 30% aller Websites weltweit mit WordPress. Aber wir freuen uns sicher alle, wenn sich jemand Gedanken macht, wie WordPress noch pupulärer werden kann.
PS: Das Plugin WP GDPR Compliance kennst du wahrscheinlich? Ich hatte es vor kurzem in der „Du“-Version übersetzt. Die formelle Übersetzung könnte noch eine helfende Hand vertragen.
Hallo Bego,
du hast natürlich recht. Der Vermerk „DSGVO-konform“ würde ja eine juristische Aussage bedeuten. Insofern macht es vielleicht wenig Sinn. Ich bin gerade dabei, mich in das Thema einzuarbeiten.Mein Problem derzeit ist, dass ich seit Jahren Seiten designe, mich aber im Grunde wenig um juristische Fragen kümmere und jetzt feststelle, dass das ziemlich problematisch sein kann und in Zukunft noch problematischer wird. Das Einzige, was ich in der Vergangenheit (ich meine jetzt nur die technischen Aspekte) beachtet habe, das war, dass ich meine Kunden über das Problem der Social-Media-Plugins aufgeklärt habe. Das Resultat war, dass sich niemand dafür interessiert hat. 😉
Jetzt mit der DSGVO bemerke ich plötzlich, dass im Grunde kaum etwas auf das ich bisher vertraut hatte, OK ist. Sogar Google-Fonts sind ja problematisch. Das bedeutet aber, dass man eigentlich kaum ein Premium-Theme nutzen kann, ohne sich auf juristisches Glatteis zu begeben, denn diese Themes nutzen fast alle Google-Fonts. (OK, ich code ohnehin lieber selbst, aber manche Kunden bestehen auf Premium-Themes.)
Aber lassen wir mal die Kirche im Dorf, alles von heute auf morgen zu ändern, wird schwer möglich sein. Das angesprochene WP GDPR Compliance ist mal ein Schritt in die richtige Richtung. Wenn ich das richtig verstanden habe, dann sorgt es dafür, dass z. B. CF7 eine Checkbox erhält mit der ich dem Senden der Daten zustimme. Daran mitzuarbeiten, wäre in meinen Augen sinnvoll. Da würde ich mir gerne ein paar Tage Zeit lassen, aber ich denke, das Übersetzten würde mich interessieren.
Das nächste (oder derzeit am wenigsten beachtete) Problem ist aber in meinen Augen, dass WP – so wie jede moderne Webseite – Daten wie z. B. IP-Adressen an Dritte sendet. Da würde ich auch gerne mehr Infos haben.
1) Wo kann man das prüfen? Gibt es Tools oder Plugins, wo man sehen kann, was verschickt wird? Das ist mal die Basisfrage.
2) Wie kann man das abstellen? Das wird schwieriger und die Antwort könnte ein längerer Prozess sein, denn jedes Tool muss anders behandelt werden. Google-Fonts kann man auch am eigenen Server haben. Für S-M gibts Shariff, mache Plugins wird man vielleicht gar nicht nutzen… Für Google-Fonts soll es ein Plugin geben, das das Laden verhindert. Vielleicht ist die DSGVO auch ein gutes Argument um Kunden zu manuell gecodeten Seiten zu bringen.
Und last but noch least, wäre ev. ein Plugin sinnvoll, dass das Senden der Daten komplett unterbindet. Ca. so wie Little Snitch für den Mac. Dann liegt die Verantwortung für die Einhaltung der Gesetze beim Kunden. Er kann entscheiden, ob er eine Funktion nutzen will, die dem Gesetz nicht entspricht und die Webdesigner wären aus der Verantwortung entlassen.
lG
RaphaelBei den Google Fonts bin ich mir nicht sicher, ob das Laden des Fonts von einer anderen Domain bereits als Verstoß gegen den Datenschutz bewertet werden muss. Ich bin kein Jurist.
Zum Laden der Fonts vom eigenen Server gibt es allerdings schon länger Tutorials, z.B.
https://die-netzialisten.de/wordpress/google-fonts-ueber-den-eigenen-server-einbinden/
danke, aber das Hosten der Fonts am eigenen Server ist nichts Besonderes, das ist nicht mein Problem. Ich falle nur gerade aus allen Wolken, weil ich feststelle, dass mein Hauptarbeitsgerät (WordPress) juristisch nicht hieb- und stichfest ist.
Also wie man es auch dreht und wendet, es scheinen weder der Core noch die meisten Themes 100% abmahnsicher zu sein. Die Google-Fonts wären ziemlich abmahngefährdet, sagt mein Anwalt. Keine IP darf nach aussen, sagt er.
Was mich also interessiert, das sind mehrere Sachen:
1) Wie stelle ich fest, wann welche IPs gesendet werden. Das müsste am leichtesten machbar sein.
2) Wenn ich das mal weiss, kann ich mir überlegen, wie ich das stoppe.
3) Wenn ich es stoppen kann, dann kann ich den Kunden sagen: OK, du willst das Premiumtheme XY, das ist nicht abmahnsicher. Der Workaround um es zu sichern, kostet soundsoviel Euro, wenn ich es selbst code ist es sicher, dann kostet es soundsoviel Euro. DERZEIT ist das Risiko mit dem Theme sehr gering bzw. null. Was nächstes Jahr passiert, kann ich nicht sagen.Wenn ich das hinkriege, dann ist das eine hochwertige Kaufberatung und das ist mein Ziel.
Um herauszufinden, wo Inhalte deiner Website geladen werden, reicht eigentlich ein Blick in die Entwickler-Tools deines Browsers, Tab Netzwerkanalyse, Spalte Host. Darüber hinaus hilft vermutlich nur ein Blick in den Programm-Code von WordPress, Themes und Plugins.
Darüber hinaus kann ich deine Fragen leider nicht beantworten.
Hallo Raphael,
ich habe lange nach einer Möglichkeit gesucht, das Problem mit den ungewollten Homecalls verschiedener Plugins sowie Themes zu lösen.
Ich habe es selber leider auch noch nicht ganz geschafft. Vor allem sind die Angaben von Anbietern teils sogar falsch. Ich dachte lange, dass zum Beispiel youtube-nocookie sicher wäre. Wenn ich aber mit den von Bego genannten Tools nachsehe, wird sehr wohl was an youtube übertragen und sogar ein cookie gesetzt wird, welches halt nur „nocookie“ heißt.
Ein Plugin, welches alle diese Homecalls verhindern würde, wäre genial. Eine Firewall, die Homecalls quasi automatisch verhindert – das wäre perfekt. Ich hab mir schon überlegt, so ein Plugin selber zu programmieren. Für die Linkhaftung hab ich das gemacht. Aber mir fehlt die Zeit und Know How.
Falls Du so etwas mal programmierst, sag mir gern Bescheid. Die Lösung, alle Plugins, die nach Hause telefonieren abzuschalten, ist auch keine Lösung. Und nicht jeder programmiert ein Theme selber.
Grüße,
Peter
Das wäre so ein Plugin:
https://de.wordpress.org/plugins/snitch/Damit kannst du sehen, was nach Hause telefoniert.
Nur weil etwas nach Hause telefoniert bedeutet das aber nicht zwangsweise dass etwas nicht DSGVO konform ist. Aber die genauen Umstände müssen im Einzelfall geklärt werden.
Ansonsten sind wir als Nicht-Juristen hier aber am Ende unseres Lateins.
Ich empfehle dringend zu verfolgen was der Core hier anbietet:
https://make.wordpress.org/core/tag/gdpr-compliance/Gruß, Torsten
@rabox66, @immobilienmakler79100
Hallo Raphael,
hallo Peter,aus verschiedenen Gründen, vor allem aber weil wir hier keine rechtlichen Fragen behandeln wollen, schließe ich an dieser Stelle diesen Thread.
Die DSGVO ist inzwischen auf mehreren WordPress Meetups von Juristen angesprochen worden. Sicher gibt es darüber hinaus noch viel Informationsbedarf, den wir aber nicht hier im Forum abdecken können.
Vielen Dank für Euer Verständnis. Bego
- Das Thema „WordPress und die DSGVO“ ist für neue Antworten geschlossen.