Das bringt WordPress 4.9.6 zur Umsetzung der DSGVO

Das bringt WordPress 4.9.6 zur Umsetzung der DSGVO

Das Schreckgespenst Datenschutz-Grundverordnung ist in aller Munde. Betreibern von Websites steht der Angstschweiß auf der Stirn. Mit einem neuen Release, das morgen offiziell erscheinen soll, will WordPress bei der Umsetzung unterstützen. Zeit für einen Blick auf den Release Candidate.

UPDATE: der Termin für die Veröffentlichung wurde um zwei Tage auf den 17. Mai verschoben.

Eigentlich handelt es sich bei #wpversion 4.9.6 um ein so genanntes „Minor Release“ – erkennbar daran, dass sich nur die letzte Stelle der Versionsnummer (von 4.9.5) ändert. Dafür fällt es aber recht umfangreich aus. Der Grund dafür ist eben das Inkrafttreten der DSGVO.

Die Macher von WordPress haben die Notwendigkeit erkannt, die Nutzer von WordPress bei der Umsetzung der Anforderungen, die sich aus der DSGVO ergeben, zu unterstützen. Ein eigenes Team hat sich um das Thema gekümmert und die Ergebnisse aus dieser Arbeit machen den Hauptteil der Änderungen aus, die WordPress 4.9.6 mit sich bringt.

Die Arbeiten an der kommenden Version 5.0 laufen zwar bereits, ein Veröffentlichungstermin steht allerdings noch in den Sternen. Daher musste eine Zwischenversion eingeschoben werden, um die Änderungen noch rechtzeitig zur Verfügung stellen zu können.

Vor drei Tagen ist der Release Candidate erschienen und bereits für morgen ist die Veröffentlichung geplant. Ich habe mir die Änderungen angesehen und mich dabei auf die Datenschutz-Themen beschränkt. Die Aufzählung erhebt keinen Anspruch auf Vollständigkeit.

Opt-In für Kommentar-Cookie

Wenn ein Besucher auf einer WordPress-Website einen Kommentar hinterlässt, dann wurde bisher der Name, die Mailadresse und die Website-Adresse in einem Cookie gespeichert. Das hat den Vorteil, dass diese Felder bereits ausgefüllt sind, wenn der selbe Besucher auf der selben Website neuerlich einen Kommentar hinterlässt.

Zwar werden diese persönlichen Daten lokal im Cookie-Speicher des Browsers abgelegt und damit genau genommen nicht verarbeitet, aber einerseits ist bei der Umsetzung der DSGVO noch sehr vieles sehr nebulös und andererseits mag ein Besucher verunsichert sein, wenn diese Felder bereits vorausgefüllt sind.

Die Lösung besteht in einer neuen Checkbox am Ende des Kommentar-Formulars. Die Beschreibung lautet „Meinen Namen, E-Mail und Website in diesem Browser speichern, bis ich wieder kommentiere“ und die Option ist standardmäßig nicht angehakt. Ab sofort werden diese Daten nur mehr dann in einem Cookie abgelegt, wenn derjenige, der den Kommentar abgibt, das möchte. Eine sehr gute Lösung aus meiner Sicht.

Personenbezogene Daten exportieren oder löschen

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, über die gespeicherten Daten informiert zu werden (Recht auf Auskunft) sowie die Löschung der gespeicherten Daten zu verlangen (Recht auf Vergessen).

Um Website-Betreiber bei der Umsetzung dieser beiden Anforderungen zu unterstützen erhält WordPress zwei neue Werkzeuge, die sich sich auch im entsprechenden Menü finden. Die beiden neu hinzugekommenen Menüpunkte lauten „Personenbezogene Daten exportieren“ und „Personenbezogene Daten löschen“. Hilfreich sind die natürlich nur dann, wenn solche personenbezogenen Daten in WordPress verwaltet werden.

Welche Daten genau von WordPress dabei jeweils berücksichtigt werden habe ich in der Kürze der Zeit bisher noch nicht getestet. Ich habe mir vor allem den Ablauf angesehen. Dieser ist in beiden Fällen gleich.

Wenn eine Person Auskunft über die gespeicherten Daten verlangt oder die Löschung dieser Daten beantragt, gibt man in WordPress einfach nur die Mailadresse im jeweiligen Tool an. Dadurch wird eine Mail generiert und versendet. Diese enthält einen Link, der bestätigt werden muss. Dadurch ändert sich der Status der Anfrage von „Ausstehend“ auf „Bestätigt“.

Erst dann kann der Administrator die jeweilige Aktion durchführen, also entweder Daten exportieren oder löschen. Danach ändert sich der Status auf „Abgeschlossen“, der Anfrager wird erneut per Mail darüber informiert, dass seine Anfrage bearbeitet wurde.

Personenbezogene Daten in WordPress löschen

Der obige Screenshot zeigt das Tool zum Löschen personenbezogener Daten. Wie man hier sieht, wird der Ablauf damit auch gleich dokumentiert. Wie bereits erwähnt habe ich mich noch nicht damit beschäftigt welche Daten genau betroffen sind, aber der Ablauf ist meiner Meinung nach extrem gut gelöst. Wenn auch noch die richtigen Daten gelöscht bzw. sinnvoll exportiert werden, dann sind diese beiden Werkzeuge wahrscheinlich eine große Hilfe für jeden, der persönliche Daten in WordPress gespeichert hat.

Datenschutzrichtlinie

Ein weiterer Punkt, in dem WordPress Anwender unterstützen möchte, betrifft die Erstellung einer Datenschutzrichtlinie oder Datenschutzerklärung (hier ist mir aufgefallen, dass die Bezeichnungen nicht ganz konsistent sind, aber das ist ein Schönheitsfehler).

Ab sofort bietet WordPress nun die Möglichkeit, automatisch einen Mustertext für eine Datenschutzrichtlinie zu generieren. Das mag hilfreich sein, bringt aber in Wirklichkeit nicht wesentlich mehr als eines der zahlreichen Muster, die man ohnehin findet.

Es wird darauf hingewiesen, dass es sich um einen Vorschlag handelt, der überarbeitet werden muss – aber dieser Hinweis ist für meinen Geschmack viel zu dezent. Es besteht meiner Meinung nach die Gefahr, dass dieser Generator weniger versierte Anwender von WordPress in falscher Sicherheit wiegt, die den Text einfach unkontrolliert genau so veröffentlichen.

Davon abgesehen aber eine gute Idee, so etwas direkt in WordPress zu integrieren. Darüber hinaus gibt es auch eine Anleitung, in der Erklärungen zu den einzelnen Abschnitten zu finden sind. Ebenfalls eine sinnvolle Sache. Trotzdem vermute ich einmal, dass man sich auch weiterhin aus verschiedenen Quellen informieren muss um eine korrekte Datenschutzerklärung für die eigene Website hinzubekommen.

In einer Ankündigung zu der Funktion habe ich gelesen, dass WordPress den Text dynamisch zusammenstellen soll. Das scheint mir jedoch nicht der Fall zu sein. Beispielsweise wird der Abschnitt über die Verwendung von Gravatar auch dann eingefügt, wenn die Verwendung von Gravatar deaktiviert ist. Um das zu testen habe ich mir einmal von WordPress eine Datenschutzrichtlinie mit aktiviertem Gravatar erzeugen lassen und einmal ohne. Das Ergebnis ist beide Male das selbe. Das ist eigentlich schade, denn hier könnte WordPress tatsächlich gegenüber anderen Generatoren punkten, indem es die eigenen Einstellungen berücksichtigt.

Ob dieser ursprüngliche Plan fallen gelassen wurde oder die individuelle Generierung auf später verschoben worden ist konnte ich auf die Schnelle nicht herausfinden. Eine Analyse des Codes, um zu sehen was da wirklich passiert, spare ich mir im Moment auch. Ebenso ist angekündigt worden, dass Plugins die Möglichkeit haben sollen, Textteile zu liefern, die in die erzeugte Datenschutzrichtlinie einfließen sollen. Auch dazu konnte ich jetzt keine näheren Informationen finden. Es kann natürlich auch sein, dass die Dokumentation dieser Funktionen noch folgt.

Der integrierte Generator hinterlässt damit bei mir einen gespaltenen Eindruck. Richtig clever finde ich hingegen, dass man nun eine Seite definieren kann, die die Datenschutzrichtlinie enthält. Ist eine solche Seite definiert, dann wird automatisch ein Link zu dieser Seite auf der Anmeldeseite von WordPress angezeigt. Das ist sehr sinnvoll wenn man eine WordPress-Website mit einer größeren Anzahl an Benutzern betreibt.

Das sind die Neuerungen in Zusammenhang mit dem Datenschutz, auf die ich in meinem Test des Release Candidate gestoßen bin.

Du kannst mir gerne eine Nachricht zukommen lassen. Bitte habe etwas Geduld, die Beantwortung kann einige Zeit dauern.