WordPress.com und DSGVO

Es gibt (endlich) die angemessene Aufmerksamkeit für die am 25.5. in Kraft tretende DSGVO.

Eine gute Einstimmung auf das Thema ist in der Ausgabe 5 der c’t ab Seite 100 zu finden. Titel: „Jetzt handeln!“

Für viele Profi-Hoster in der EU und Unternehmen mit entsprechendem Budget, die eigene WordPress.org-Installationen betreiben, wird das zwar ein Klimmzug aber grundsätzlich kein Problem werden, da entsprechende Parameter individuell angepasst werden können.

Was aber ist der Stand der Dinge bei privaten Seitenbetreibern, Vereinen, Bands und Kleinunternehmen die aus gutem Grund kugelsichere und wartungsfreie Internetseiten mit WordPress.com betreiben, die bei Automattic in den USA gehostet werden?

(* Gemeint sind hier nicht Blogs mit intensiv genutzten Kommentar- und Community-Funktionen!)

Stand der Dinge (13.6.18)

  • WordPress.com Privacy Policy wurde überarbeitet https://automattic.com/privacy
    Support-Anfrage 30.5.: Wann wird übersetzt? Antwort vom Happiness-Engineer: Nicht absehbar, wir informieren per E-Mail. Anfrage 12.6.: unverändert :-(
  • Cookie-Infos wurden überarbeitet https://automattic.com/cookies/  und ist derzeit nicht synchron mit https://de.support.wordpress.com/cookies
    Anfrage Übersetzung –> s. o.
  • Ein Auftragsverarbeitungsvertrag in Englisch kann geschlossen werden
    https://privacydotblog.files.wordpress.com/2018/05/dpa.pdf
    lt. Äußerungen in Support-Foren erfolgt eine Rücksendung mit Unterschrift zügig.
    Anfrage Übersetzung –> s. o.
  • Privacy Blog zum Thema https://privacy.blog/
  • www.e-recht24.de/ E-Mail vom 23.04. (nach mehreren Versuchen per Premium-Account eine Einschätzung zum Thema zu bekommen):
    „Wir schauen uns die Frage WordPress/ Automattic für das nächste Update des Premium-Generators einmal an. Aber hier der Hinweis, dass diese Fragen in der Verantwortlichkeit der Anbieter liegen. Diese müssen ihren Kunden sagen, ob Ihre Tools rechtssicher genutzt werden können.“
    Erneute Anfrage nach Update des Premium-Generators am 11.6.
  • Von mir angefragter Fachanwalt Medien- und IT-Recht:
    „Bevor sich Datenschutzbehörden mit zigtausenden WordPress.com-Seitenbetreibern herumschlagen, werden sie sich Automattic vorknöpfen.“ Ein schwacher Trost: Seitenbetreiber fürchten nicht Behörden, sondern die Abmahn-Industrie.
  • Wegen der Brisanz des Themas habe ich im April eine IHK-Fortbildung zum betrieblichen Datenschutzbeauftragten begonnen (Abschluss Mitte Juli).

Empfehlung für einfache (!) WordPress.com-Seiten

Während Automattic an der DSGVO-Konformität arbeitet, ist die Gelegenheit günstig, Seiten aufzuräumen und entsprechende Funktionen zu überprüfen, die ohnehin häufig überschätzt werden. Ziel: Ganz unabhängig von DSGVO die Speicherung personenbezogener Daten soweit wie möglich einschränken (Minimierungsgebot!):

  • Social-Media-/Sharing-Buttons entfernen, da sie nicht – wie bei wordpress.org – durch eine datenschutzkonforme Lösung (Shariff) ersetzt werden können
  • Mailto-Link statt Kontaktformular –> Details bei Selfhtml
  • Kommentarfunktion deaktivieren, falls das eine essentielle Funktion ist –> wordpress.org
  • Falls noch nicht geschehen: Cookie-Info einbinden
  • Einfache und verständliche Kurzfassung des Datenschutzthemas anbieten –> Beispiel auf salon4b.de
  • Datenschutz-Seite anpassen z. B. mit e-recht24.de

Während der Datenschutz-Rummel Fahrt aufnimmt, wurde der „Folgen“-Button für nicht angemeldete Besucher obligatorisch. Die Option zum Abschalten der Funktion wurde im Backend entfernt. Antwort des „Happieness-Engineers“ dazu –> wenn die Funktion nicht gewünscht wird, Premium buchen + per CSS ausblenden.  Ein Trauerspiel!