Die Datenschutzgrundverordnung der EU (DSGVO) gilt ab dem 25. Mai 2018 – und zwar auch für Schweizer Firmen und Organisationen gemäss dem Marktortprinzip. Das europäische Datenschutzrecht gilt also auch für außereuropäische Unternehmen, soweit diese ihre Waren oder Dienstleistungen im europäischen Markt anbieten. Was heisst dies für Deine WordPress-Website? Welche Tools können Dich allenfalls unterstützen, um GDPR-compliant zu werden?
Vorab ein DISCLAIMER: Als Nichtjurist lehne ich jede Verantwortung ab, falls die hier nach bestem Wissen vermittelten Informationen falsch sein sollten. Die Verantwortung, die Schweizer und EU-Datenschutzbestimmungen einzuhalten bleibt beim Betreiber oder Datenschutzverantwortlichen der jeweiligen Angebote.
Gilt die EU-DSGVO auch für mich? Diese Frage steht selbstverständlich am Anfang. Dabei hilft ein Merkblatt des Eidgenössischen Datenschützers (EDÖB).
WordPress Plugins, welche die Umsetzung der Anforderungen der DSGVO unterstützen
Einen ersten Überblick kann man sich jedeR selbst verschaffen, indem die Liste mit allen WordPress-Plugins mit dem Tag „GDPR“ auf wordpress.org angeschaut wird. Hier werden einige der Plugins noch kurz kommentiert. Dies ist ein Work in Progress, aktueller Stand: 23.3.2018.
GDPR Plugin. Noch arg im Beta-Stadium. Hat aber einen umfassenden Anspruch, in der fertigen Version alle Anforderungen bis hin zum Takeout der Daten in maschinenlesbarer Form (Portabilität) unterstützen zu wollen. Ob dies gelingt, wird sich zeigen müssen. Die Entwicklung auf GitHub ist relativ aktiv, allerdings sind die dortigen Änderungen (im Branch „rewrite“) noch nicht ins öffentlich verfügbare Plugin eingearbeitet.
WP GDPR Compliance. Dieses Plugin fragt beim WordPress-Administrator ab, welche Arten von Datenverarbeitung auf der Seite stattfindet und unterstützt die Ergänzung von Formularen mit den entsprechenden Einverständniserklärungen. Aktuell (Version 1.2.2.) werden die folgenden Plugins unterstützt: Contact Form 7 (>= 4.6), Gravity Forms (>= 1.9), WooCommerce (>= 2.5.0) und WordPress Kommentare.
WP-GDPR (core) und kostenpflichtige Addons für bestimmte Anwendungen. Als Addons verfügbar sind momentan Gravity Forms und Contact Form 7, in Arbeit ist ein WooCommerce Addon und geplant sind weitere Addons für Mailchimp, MailPoet, GetResponse etc.
GDPR Tools. Cookie-Notiz; Registrierte NutzerInnen können Services ein/ausschalten, welche ihre Daten tracken/speichern; sie können persönliche Daten löschen; sie können sich aus einem Mailchimp-Newsletter austragen; Administrator kann die Daten bestimmter NutzerInnen löschen.
GDPR Personal Data Report. Ermöglicht registrierten BenutzerInnen, sich einen Bericht mit den typischen von WordPress über BenutzerInnen gespeicherten Daten per Email zuzusenden (also Profildaten und Kommentare) und diese auf Wunsch auch zu löschen.
Bitte: Melde fehlende Plugins oder positive/negative Erfahrungen mit den bereits aufgelisteten Plugins an balthasar.glaettli@politbuero-kampagnen.ch
Framework für Plugin-Developers
Weil verschiedenste Plugins Nutzerdaten speichern, ist die Gefahr gross, dass jedes Plugin die entsprechenden Funktionalitäten, welche Nutzer laut EU DSGVO haben müssen, neu programmiert. Dies ist nicht nur für die Plugin-Programmierenden mühsam, sondern auch für die Nutzenden selbst, wenn Sie dann in einer Website ihre Daten in x verschiedenen Portionen herunterladen oder löschen lassen müssen. Hier gibt das Projekt GDPR WP Gegensteuer: https://www.gdprwp.com/. Dieses hat dazu geführt, dass in WordPress 4.9.*
Plugin-Autoren können ihr Plugin so erweitern, dass es von diesen Funktionalitäten profitiert. Mehr Infos, wie ein Plugin von den Funktionalitäten des „Personal Data Exporter“ Tools profitieren kann, das neu zum WordPress Core gehört.
(Stand 23.3.2018)