WordPress.com und DSGVO

Es gibt (endlich) die angemessene Aufmerksamkeit für die am 25.5. in Kraft tretende DSGVO.

Eine gute Einstimmung auf das Thema ist in der Ausgabe 5 der c’t ab Seite 100 zu finden. Titel: „Jetzt handeln!“

Für viele Profi-Hoster in der EU und Unternehmen mit entsprechendem Budget, die eigene WordPress.org-Installationen betreiben, wird das zwar ein Klimmzug aber grundsätzlich kein Problem werden, da entsprechende Parameter individuell angepasst werden können.

Was aber ist der Stand der Dinge bei privaten Seitenbetreibern, Vereinen, Bands und Kleinunternehmen die aus gutem Grund kugelsichere und wartungsfreie Internetseiten mit WordPress.com betreiben, die bei Automattic in den USA gehostet werden?

Stand der Dinge (20.5.18)

  • Das deutschsprachige Support-Team im Wortlaut
    „Privacy Policy wird gerade überarbeitet und anschließend übersetzt“
  • WordPress.com
    14.05.2018: „In den kommenden Wochen werden Aktualisierungen der Datenschutz-Funktionen und -Regeln veröffentlicht“
    https://en.blog.wordpress.com/2018/05/14/new-privacy-features-and-updated-policies/
    Auftragsverarbeitungsvertrag –> https://privacydotblog.files.wordpress.com/2018/05/dpa.pdf
  • Privacy Blog von WordPress.com
    https://privacy.blog/
  • Automattic und die Datenschutzgrundverordnung (DSGVO) / Automattic and the General Data Protection Regulation (GDPR)
    https://en.support.wordpress.com/automattic-gdpr/
  • Aktualisierte Datenschutzerklärung / Updated Privacy Policy
    https://en.blog.wordpress.com/2017/12/04/updated-privacy-policy/
    https://automattic.com/privacy/
  • www.e-recht24.de/ E-Mail vom 23.04. (nach mehreren Versuchen per Premium-Account eine Einschätzung zum Thema zu bekommen):
    „Wir schauen uns die Frage WordPress/ Automattic für das nächste Update des Premium-Generators einmal an. Aber hier der Hinweis, dass diese Fragen in der Verantwortlichkeit der Anbieter liegen. Diese müssen ihren Kunden sagen, ob Ihre Tools rechtssicher genutzt werden können.“
  • Von mir angefragter Medien-Rechtsanwalt:
    „Bevor sich Datenschutzbehörden mit zigtausenden WordPress.com-Seitenbetreibern herumschlagen, werden sie sich Automattic vorknöpfen.“ Das ist ein schwacher Trost: Die Seitenbetreiber fürchten nicht die Behörden sondern die messerwetzende Abmahn-Industrie.
  • Wegen der Brisanz des Themas habe ich im April eine IHK-Fortbildung zum betrieblichen Datenschutzbeauftragten begonnen (Abschluss Mitte Juli).

Empfehlung für WordPress.com-Seiten

Während Automattic an der DSGVO-Konformität arbeitet, ist die Gelegenheit günstig, Seiten aufzuräumen und entsprechende Funktionen zu überprüfen, die ohnehin häufig überschätzt werden. Ziel: Ganz unabhängig von DSGVO die Speicherung personenbezogener Daten soweit wie möglich einschränken (Minimierungsgebot!):

  • Social-Media-/Sharing-Buttons entfernen, da sie nicht – wie bei wordpress.org – durch eine datenschutzkonforme Lösung (Shariff) ersetzt werden können
  • Mailto-Link statt Kontaktformular –> Details bei Selfhtml
  • Kommentarfunktion deaktivieren –> leider derzeit nicht möglich bei Bildergalerien
  • Falls noch nicht geschehen: Cookie-Info einbinden
  • Einfache und verständliche Kurzfassung des Datenschutzthemas anbieten –> Beispiel auf salon4b.de