WordPress.com und DSGVO

Es gibt (endlich) die angemessene Aufmerksamkeit für die am 25.5. in Kraft tretende DSGVO.

Eine gute Einstimmung auf das Thema ist in der Ausgabe 5 der c’t ab Seite 100 zu finden. Titel: „Jetzt handeln!“

Für viele Profi-Hoster in der EU und Unternehmen mit entsprechendem Budget, die eigene WordPress.org-Installationen betreiben, wird das zwar ein Klimmzug aber grundsätzlich kein Problem werden, da entsprechende Parameter individuell angepasst werden können.

Was aber ist der Stand der Dinge bei privaten Seitenbetreibern, Vereinen, Bands und Kleinunternehmen die aus gutem Grund kugelsichere und wartungsfreie Internetseiten mit WordPress.com betreiben, die bei Automattic in den USA gehostet werden?

(* Gemeint sind hier nicht Blogs mit intensiv genutzten Kommentar- und Community-Funktionen!)

Stand der Dinge (14.01.2019)

  • WordPress.com Privacy Policy wurde überarbeitet https://automattic.com/de/privacy/ (endlich, nach fast einem Jahr!)
  • Cookie-Infos wurden überarbeitet https://automattic.com/de/cookies/
  • Ein Auftragsverarbeitungsvertrag in Englisch kann geschlossen werden
    https://privacydotblog.files.wordpress.com/2018/05/dpa.pdf
    lt. Äußerungen in Support-Foren erfolgt eine Rücksendung mit Unterschrift zügig.
    Anfrage Übersetzung –> s. o.
  • Privacy Blog zum Thema https://privacy.blog/
  • www.e-recht24.de/ zum Thema nach mehreren Anrfragen auch mit kostenpflichtigem Kundenkonto: keine Reaktion. Schade eigentlich.
  • Von mir angefragter Fachanwalt Medien- und IT-Recht:
    „Bevor sich Datenschutzbehörden mit zigtausenden WordPress.com-Seitenbetreibern herumschlagen, werden sie sich Automattic vorknöpfen.“ Ein schwacher Trost: Seitenbetreiber fürchten nicht Behörden, sondern die Abmahn-Industrie.
  • Fazit: die o.g. Privacy- und Cookie-Informationen sind zwar ausführlich, lösen aber nicht das generelle Problem. Webdienste auf US-Servern können durch Patriot-Act und Cloud-Act nicht DSGVO-konform ausgeführt werden.

Empfehlung für einfache (!) WordPress.com-Seiten

Die Speicherung personenbezogener Daten sollte soweit wie möglich einschränken (Minimierungsgebot!):

  • Social-Media-/Sharing-Buttons entfernen, da sie nicht – wie bei wordpress.org – durch eine datenschutzkonforme Lösung (Shariff) ersetzt werden können
  • Mailto-Link statt Kontaktformular –> Details bei Selfhtml
  • Kommentarfunktion deaktivieren, falls das eine essentielle Funktion ist –> wordpress.org
  • Falls noch nicht geschehen: Cookie-Info einbinden
  • Einfache und verständliche Kurzfassung des Datenschutzthemas anbieten –> Beispiel auf salon4b.de
  • Datenschutz-Seite anpassen z. B. mit e-recht24.de

Während sich Datenschutz-Rummel schon wieder legt, wurde der „Folgen“-Button für nicht angemeldete Besucher obligatorisch. Die Option zum Abschalten der Funktion wurde im Backend entfernt. Antwort des „Happieness-Engineers“ dazu –> wenn die Funktion nicht gewünscht wird, Premium buchen + per CSS ausblenden.  Ein Trauerspiel!