WordPress Datenschutz: WordPress 4.9.6 klärt, was zu erklären ist

WordPress Kommentar DatenDas nächste automatische WordPress Hintergrund-Update wird weit mehr leisten als nur Sicherheitslücken zu schließen. WordPress 4.9.6 ist für Donnerstag 17.05.2018 angekündigt und widmet sich dem WordPress Datenschutz. Damit schließt WordPress eine Lücke, die sich bislang in allen angebotenen Datenschutz Generatoren und Mustererklärungen aufgetan hat. Die neue Version klärt nämlich, wie es um den WordPress Datenschutz steht. Was WordPress selbst so treibt oder auch verbockt. Und wie sich so manches Datenschutz-Problem ohne Plugin oder Gefummel in der functions.php lösen lässt.

UPDATE 20.05.2018:

WordPress 4.9.6 ist kein automatisches Hintergrund-Update. Das heißt, es aktualisiert sich nicht von selbst. Sie sind gefordert, dieses Update selbst auszuführen.

Der vorgeschlagene Text für die Datenschutzerklärung wirkt arg überschaubar und erscheint so nicht wirklich hilfreich…

Das Anonymisieren der Kommentar-IP-Adressen findet leider doch nicht statt.

Hingegen könnte man das Löschen der personenbezogenen Daten als Anonymisieren bezeichnen. Das heißt, nach der Löschung bleibt der Kommentar als solcher bestehen. Allerdings erscheint statt des angegebenen Namens Anonymous, aus der E-Mail-Adresse wird deleted@site.invalid, aus der Website-Adresse site.invalid und die IP-Adresse wird gekürzt.

Kommentare lassen sich auch ohne Zustimmung zu den Kommentar-Cookies absenden. Somit können Kommentierende auf die weiter unten beschriebene Annehmlichkeit leicht verzichten. Da diese Zustimmung kein Pflichtfeld ist, lässt sie sich nicht einfach als Zustimmung zum Speichern der angegebenen Daten missbrauchen.

 

WordPress 4.9.6 ist kein „minor“ Update!

Mit WordPress 4.9.6 verhält es sich anders als normalerweise üblich bei diesen kleinen, sogenannten minor Updates. Dabei wird WordPress mit dieser Aktualisierung nicht alles regeln, sodass Nutzer sich entspannt zurücklehnen können. Vielmehr ist hier die geneigte Aufmerksamkeit aller Nutzer gefragt. Denn der WordPress Datenschutz betrifft uns alle.

Disclaimer: Ich habe die Beta-Version von WordPress 4.9.6 nicht selbst getestet. Meine Informationen beziehe ich über die Roadmap zur DSGVO Einhaltung und Make WordPress Core.

WordPress Datenschutz: die Neuerungen

WordPress 4.9.6 wird eine ganze Reihe von Neuerungen in Sachen Datenschutz liefern. Dazu gehören:

  1. Hilfe bei der Formulierung einer Datenschutzerklärung
  2. das Anonymisieren von Kommentar-IP-Adressen
  3. das Hinzufügen einer Zustimmung zu den Kommentar-Cookies
  4. die Möglichkeit der Datenauskunft für Kommentierende und registrierte Benutzer
  5. die Möglichkeit, einen Löschantrag für gespeicherte Daten zu stellen.

1. Hilfe bei der Formulierung einer Datenschutzerklärung

Die Frage, wie denn nun die neue DSGVO-gerechte Datenschutzerklärung lauten soll, kann einen sicherlich an den Rand der Verzweiflung bringen. Immerhin gibt es Anbieter, die ihre Datenschutz-Generatoren oder auch Muster Datenschutzerklärungen zum Teil kostenfrei, zum Teil gegen mehr oder weniger kleines Geld, zum Teil gegen die Ware Daten anbieten.

Wenn man sich dann aber mal die Mühe macht, diese genau durchzulesen, wird bald deutlich, dass dies nur Vorschläge sein können. Zum einen liegt dies daran, dass die Anbieter nun mal nicht wissen können, was genau wir Blogger/Unternehmer mit personenbezogenen Daten anstellen. Zum anderen sind sich selbst Fachleute offenbar noch nicht einig, wie so eine DSGVO-konforme Datenschutzerklärung denn nun bitte schön genau aussehen soll.

Ein Beispiel für diese Uneinigkeit ist die Nennung der Rechtsgrundlage. Einige Anbieter klären hier detailliert auf, indem sie ihre Textfragmente mit entsprechenden Verweisen bestücken. Andere schenken sich die Nennung der Rechtsgrundlage völlig. Obwohl dies im Gesetzestext eigentlich explizit gefordert ist: siehe hierzu Artikel 13 DSGVO, 1c. Oder missverstehe ich da was?

In diesem Kontext ist also nicht davon auszugehen, dass die nun zur Verfügung gestellte WordPress Datenschutzerklärung ausreichend sein könnte. Aber: Sie liefert Klärung, was WordPress selbst so treibt. Zum Beispiel, wie die WordPress Cookies funktionieren. Das ist eine Komponente, die allen mir bislang bekannten Datenschutz Generatoren fehlt. Was aber auch okay ist. Schließlich soll es auch noch Websites geben, die nicht auf Basis von WordPress erstellt sind.

2. Das Anonymisieren der Kommentar-IP-Adressen

Auf das Thema Anonymisieren der Kommentar-IP-Adressen bin ich hier ja schon einmal in einem ausführlichen Beitrag eingegangen. Dieser Beitrag wird nun an Aufmerksamkeit einbüßen, die ihm vor allem wegen des Links von RA Schwenkes Datenschutz-Generator zuteilwurde. Das ist schon ein bisschen traurig – allerdings nur für mich. Für alle anderen, die die Kommentar-Funktion von WordPress nutzen, stellt die neue Funktion voraussichtlich eine Erleichterung dar. Schließlich mag und kann nicht jeder in seiner functions.php herumfummeln.

Wie genau die Anonymisierung der Kommentar-IP-Adressen funktioniert und ob sie sich mit dem (sicherlich nicht nur von mir so geliebten) Plugin Antispam Bee versteht, muss sich erst noch zeigen.

3. Zustimmung zu den Kommentar-Cookies

Wenn Sie einen Kommentar auf einer WordPress Website hinterlassen, setzt WordPress bei Ihnen einen Cookie. Genauer gesagt sind es derer drei:

  • Einen für Ihren Namen oder das Pseudonym, das Sie angeben;
  • einen für Ihre E-Mail-Adresse oder die Fantasie-Adresse, die Sie nennen;
  • und einen für Ihre Website-Adresse, sofern Sie überhaupt eine nennen.

Diese drei Cookies werden für ein Jahr auf Ihrem Rechner gespeichert.

Nun ist der Begriff Cookie mittlerweile alles andere als positiv besetzt. In diesem Fall bedeutet er eigentlich nur eine Annehmlichkeit. WordPress sorgt mit diesen Cookies nur dafür, dass Sie beim nächsten Besuch auf dieser Website Ihren Namen sowie Ihre E-Mail- und die Website-Adresse nicht noch einmal eingeben müssen. So zumindest habe ich es immer verstanden.

Sicher, Sie haben recht: Es gibt aufwändigere Dinge im Leben, als diese drei personenbezogenen Daten nochmal tippen zu müssen. Man könnte sich diese Hilfestellung eigentlich auch schenken. Aber nun gibt es sie, und deshalb müssen Sie diesem Cookie fortan auch immer zustimmen. Ohne Zustimmung keine Möglichkeit zum Kommentar.

Stellt sich nur noch die Frage, inwieweit der WordPress Datenschutz neben dem Zustimmen zum Cookie auch die Zustimmung zur Speicherung von Name/Pseudonym, E-Mail- und Website-Adresse-Adresse berücksichtigt. Zudem wäre es sicherlich sinnvoll, hier – wie beim Kontaktformular – auf die Datenschutzerklärung verlinken zu können.

4. Datenauskunft für Kommentierende und registrierte Benutzer

Besonders gespannt bin ich auf die Datenauskunft für Kommentierende und registrierte Benutzer. Wenn ich es richtig verstanden habe, produziert WordPress keine Seite mit dem Titel Datenauskunft, auf der Nutzer per Eingabe Ihrer E-Mail-Adresse direkt für die Zusendung ihrer gespeicherten personenbezogenen Daten sorgen können. Vielmehr sollen Website Nutzer nur den Hinweis erhalten (zum Beispiel in der Datenschutzerklärung), an wen sie sich bezüglich ihrer Datenauskunft wenden können. Der Website Admin kann dann über ein neues Tool den Antrag hinterlegen und Kontakt mit dem Betreffenden aufnehmen. Woraufhin der Betreffende seinen Antrag erst einmal verifizieren muss, bevor überhaupt weitergehende Daten rausgeschickt werden.

Auch wenn das auf den ersten Blick etwas aufwändig wirkt, scheint es mir doch ein grundsätzlich kluges Vorgehen zu sein. Bleibt nur noch die Frage, über welche Daten das Tool genau Auskunft gibt.

WordPress Datenschutz: Datenauskunft und Löschung bei Kommentaren
Der WordPress Datenschutz sorgt jetzt für Datenauskunft und Löschung

Kürzlich testete ich ein Plugin, das Ähnliches leisten soll. Für einen Kommentar wie den, der oben im Bild zu sehen ist, erhielt ich als gespeicherte personenbezogene Daten doch tatsächlich nur die Information meines Namens und meiner angegebenen E-Mail-Adresse. Sicherlich nachvollziehbar, dass ich von dem Plugin nicht begeistert war.

4. Löschantrag für gespeicherte Daten

Besonders gespannt bin ich dann auch noch auf den Löschantrag. Der soll grundsätzlich so ähnlich funktionieren wie die Datenauskunft. Sprich: Es braucht erst einmal eine Verifizierung der antragstellenden Person. Dabei allerdings stellt sich mir die Frage, wie das funktionieren soll, ohne dass dabei schon wieder etwas gespeichert wird: nämlich mindestens mal Name und E-Mail-Adresse des Anfragenden. Kann man dafür dann auch einen Löschantrag stellen oder regelt sich das Ganze irgendwie von selbst?

Ob nun mit oder ohne diese neuen WordPress Datenschutz Tools und Hinweise: Das Thema DSGVO wird uns alle noch lange fordern. Immerhin liefert WordPress hier in mancherlei Hinsicht Klärung und Hilfestellung. Schauen wir also alle mal dem kommenden Donnerstag mehr oder weniger freudig entgegen!


Beitragsbild: Britta Kretschmer

5 Anmerkungen zu “WordPress Datenschutz: WordPress 4.9.6 klärt, was zu erklären ist

  • 15. Mai 2018 um 14:39
    Permalink

    mmhhh??!!??

    Nicht schlauer als vorher.

    LG Reinhard

  • 15. Mai 2018 um 15:05
    Permalink

    Hallo Reinhard,
    dann schau dir das Ganze doch am Donnerstag (oder wann auch immer dich das Auto-Update trifft) genau an. Vielleicht hilft das…
    LG, bk

  • 17. Mai 2018 um 8:56
    Permalink

    Eine ganz naive Frage von mir: gibt’s dieses automatische Update dann auch bei WordPress.com accounts?

  • 18. Mai 2018 um 8:18
    Permalink

    Liebe Britta,

    Große Erleichterung heute morgen, die neue Version wurde auch bei meinem wordpress.com account installiert.
    LG,
    Barbara

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.