Autor: Torsten

Das Thema DSGVO hat mich als Blogger recht unverhofft getroffen. Kaum hat man mit dem Blogen so richtig begonnen, schon schlägt man sich mit solchen Themen rum. Der Vorteil war allerdings, dass ich mich bei der Auswahl der Plugins von Anfang an mit dem Thema auseinandergesetzt habe.

Guides und Kommentare, die teilweise recht widersprüchlich sind bzw. das Gesetz alle anders auslegen, gibt es im Netz unterdessen genug. Genannt sei hier zum Beispiel folgender: 170+ WordPress-Plugins im DSGVO Check.

Daher liste ich im Folgenden auf was ich im Rahmen der Anpassung “fit für DSGVO” gemacht habe.

Nur der Vollständigkeit halber: Dieser Beitrag ist keine Rechtsberatung!

Antispam Bee

Alle Einstellungen in denen IPs verwendet werden (zum Beispiel öffentliche IP Datenbank) oder alle Funktionen bei denen privacy bzw. Datenschutzhinweise vorhanden sind habe ich deaktiviert. Im Kontext Antispam Bee wird Sicherheit gegen Datenschutz eingetauscht.

Akismet ist nach aktuellem Stand offenbar nicht zu empfehlen.

SSL

Habe ich schon seit Jahren auf meinen anderen Domains, somit war das für den Blog auch selbstverständlich. Vom Gesetz nicht gefordert, aber durchaus sinnvoll ist die Prüfung der Qualität der Absicherung. Keinem hilft eine auf veralteter Technik basierte Absicherung, die leicht angreifbar ist.

Hier kann ich folgenden Link zur Prüfung der eigenen Seite empfehlen. A oder A+ sollte das Ziel sein. Den Test sollte man regelmäßig ausführen, weil heute sichere Standards es morgen evtl. nicht mehr sind.

Für WordPress kann man zum Beispiel das Plugin Really Simple SSL nutzen.

Update 09.02.2020: Man bekommt SSL aber auch vollkommen ohne externe Plugins zum laufen. Mittlerweile verwende ich keinerlei Plugins mehr in dem Kontext

Jetpack

Auch im Kontext Jetpack tauscht man teilweise Sicherheit gegen Datenschutz.

Ich habe in Jetpack die Funktion zur Überwachung verdächtiger Anmeldeaktivitäten deaktiviert. Aktuell sieht es nicht so aus, als wenn Jetpack rechtzeitig das Update bereitstellt aber warten wir es ab.

Der aktuelle Status findet sich hier.

WP DSGVO

Das Addon WP DSGVO habe ich für die Kommentar folgen Funktion installiert, um dort eine explizite Zustimmung einzuholen (Double Opt In). Weiterhin bietet das Plugin die Möglichkeit die Löschung der persönlichen Daten anzufordern. Die Funktion kann man recht komfortabel in den Block einbinden.

Update 09.02.2020 siehe weiter unten. Ich habe WP DSGVO aus verschiedenen Gründen ersetzt. Das Addon logt extrem viel mit und ist aus meiner Sicht selbst aus DSGVO Sicht und aus Performanzsicht kritisch. Zusätzlich vertragen sich einige Funktionen nicht gut mit Caching Plugins.  Ersetzt habe ich WPDSGVO durch GDPR Data Request Form und WP Comment Policy Checkbox.

Remove IP

Die IP wird durch dieses Kleine Addon direkt beim Speichern von Kommentaren gelöscht

Redirection

Selbst in diesem Addon verbirgt sich eine IP Protokollierung, die ich nun deaktiviert habe.

Shariff Wrapper

Die Sharing Funktion von einem anderen Plugin habe ich durch Shariff ersetzt. Dann werden erst nach dem Klick auf den entsprechenden Button Daten an Facebook und andere weitergegeben.

Update 09.02.2020

Complianz

Das Plugin ermöglicht das Blocken von Cookies und externem Code, bevor der Anwender der Verwendung zustimmt.

Siehe auch hier.

Disable Emojis (GDPR friendly)

Das Addin vermeidet das Nachladen von Emojis von Drittanbieterseiten. Moderne Browser können diese in der Regel trotzdem darstellen.

GDPR Data Request Form

Anfrageformular um personenbezogene Daten anzufordern oder zu löschen.

Self-Hosted Google Fonts

Lädt ggf. benötigte Google Fonts auf den eigenen Server. Ein Nachladen bei Google ist nicht mehr erforderlich.

WP Comment Policy Checkbox

Bevor ein Kommentar abgegeben werden kann, muss der Datenschutzerklärung zugestimmt werden.

Datenschutzerklärung

Die Datenschutzerklärung muss auch aktualisiert werden. Ich habe den Generator von der Kanzlei Dr. Schwenke genutzt, da der bei Recht24 passenderweise aktuell nicht verfügbar ist und dort auf die Prämiumdienste verwiesen wird. Ansonsten habe ich mir beim Erstellen gedacht lieber ein paar Optionen zu viel aktivieren als zu wenig. Besser ich erwähne einen Dienst, der auf dem Blog (noch) nicht verwendet wird, als andersrum.

Generell sollte man wohl die DSGVO so gestalten, dass sie nicht von Robots durchsucht werden kann (robots.txt) oder WP Hide Post, damit nicht irgendwelche wütenden Abmahnanwälte automatisiert evtl. Fehler aufspüren können.

Gostery Plugin für Chrome

Damit könnt ihr sehen welche Tracking Aktivitäten auf eurem Blog so laufen. Bei mir sind das Gravatar und WordPress.com (Jetpack) – beides nicht überraschend.

Und sonst so

Das Plugin Email Subscribers & Newsletters benötigt auch einen Button, in dem der Benutzer bestätigt, dass er die Datenschutzbvereinbarung zur Kenntnis nimmt. Dafür wird dann gleich mal ein zweite Plugin benötigt was sich GDPR schimpft. Wenn man bei dem Plugin die Datenschutzvereinbarung verlinkt, dann verlangt es beim Login auf der Seite vom Benuzer direkt, dass die “Änderung der Datenschutzvereinbarung” bestätigt wird. Das hat zwar den Vorteil, dass man damit quasi alles folgende abgesegnet hat. Aber mir stellt sich schon die Frage wie die Benutzer identifiziert werden, die die Datenschutzvereinbarung abgesegnet haben. Bleibt die IP und Cookies, was doch eigentlich böse ist. 😉 Auf jeden Fall war mir so ein Überfall auf die Webseitenbesucher dann doch zu radikal.

Gravatar und das CDN (Content delivery network – verteilte Auslieferung von Bildern zwecks Entlastung des eigenen Servers) von Jetpack habe ich bisher nicht deaktiviert. Lt. den Angaben von Jetpack werden keine IPs mitgelogt bzw. die Daten werden anonymisiert übertragen. Auf Gravatar wird in der Datenschutzvereinbarung explizit eingegangen und auch auf Like Buttons.

Cookies werden auf dem Blog nur erhoben, um den Loginprozess zu beschleunigen, wenn man es denn möchte. Es gibt keine Statistikauswertungen oder ähnliches für die Cookies als Basis genutzt werden. Allerdings speichern die Plugins wie z.B. von Lovelybooks (die wollen die Cookies in kürze ausbauen) und Blogslovin leider Cookies.

Update 09.02.2020 – Siehe separater Blogbeitrag zum Thema Cookies.

In Chrome könnt ihr unter Weitere Tools\Entwicklertools\Application sehen welche Cookies von der jeweiligen Seite gespeichert werden.

Emojis habe ich über Autoptimize verbannt, aber die funktionieren trotzdem noch, sehen aber seitdem anders aus. Offenbar kommen sie aber nun nicht mehr aus kritischer, weil datensammelnder Stelle. Weiterhin habe ich in dem Plugin die Google Fonts deaktiviert.

Update 09.02.2020 – Autoptimize verwende ich nicht mehr. Stattdessen benutze Ich WP Speed of Light, das aber auch eine Funktion zum Deaktivieren von Emojis hat.

Ich werde jetzt mal entspannt auf den 25.05 warten und ggf. noch Plugins aktualisieren, wenn vorher noch was kommt.

Und Ihr?

Habt ihr auch einen Blog und was habt ihr so alles angestellt oder hofft ihr einfach, dass schon nichts passieren wird oder wart ihr viel radikaler als ich und habt noch mehr Komfortfunktionen entfernt? Findet ihr auch das die DSGVO vom Grundansatz zwar gut für den Datenschutz ist aber gerade für Blogger weit über das Ziel hinausschießt?

Nachdem ich in den letzten Monaten einige Erfahrungen mit WordPress gesammelt habe, dachte ich mir es ist vielleicht für den einen oder anderen interessant, wenn ich darüber blogge.

Lessons learned

Es gibt so einige lesson learned aus den letzten Monaten:

1. Weniger Plugins sind mehr (ja, das liest man überall aber es ist so verdammt schwer sich daran zu halten, weil man bei einem anderen Blogger ein tolles Feature sieht, dass man auch gerne hätte und das ist Fluch und Segen bei den WordPress Plugins – man findet fast alles aber oft sind die Plugins so fokussiert auf einen Bereich, dass man ein ganzen Sammelsurium auf dem Blog hat. Und ruck zuck hat man mehr Plugins als man je haben wollte.
2. Ein Linux Server als Basis ist deutlich flotter als eine Windows Plattform mit Plesk (und das liegt nicht an Plesk, sondern an Windows). Das habe ich mit mehreren VPS-Servern bei verschiedenen Anbietern getestet.
3. Optimierungsaddons sollte man sehr vorsichtig einsetzen. Je nach Einstellung (vor allem Java Script zusammenfassen oder optimieren) ist gefährlich. Generell gilt, man sollte nach jeder Einstellung prüfen, ob die Geschwindigkeit sinkt oder steigt und auch ob noch alles funktioniert.
4. Bei WordPress gilt nicht WYSIWYG (what you see is what you get). Das gilt ganz besonders bei Bildern oder Galerien. Gerade wenn man mit individuellen Bildgrößen arbeitet. Ich habe es z.B. schon oft erlebt, dass ein Bild in der Entwurfsansicht in einer anderen Größe angezeigt wird als im veröffentlichten Post. Die Folgen per Mail Funktion verhält sich wiederum noch mal anders. Gleiches gilt auch für Plugins wie Zitate darstellen oder Bewertungen optisch darstellen. Es ist bei all diesen Addons nicht sichergestellt, dass in einer Follower Mail das gleiche erscheint, wie in der Post- oder Vorschauansicht. Daraus folgt, dass es ehr hilft, wenn man eine zweite Domain mit einem identischen WordPress hat, auf dem man testen kann, ohne seine Follower zuzuspammen mit hässlichen Mails, die vorher im Entwurf und als Vorschau noch ganz toll aussahen.
5. Kümmer dich um die Suchmaschinen! Das heißt die Seite sollte schnell genug sein (siehe Google Page Speed Insights), weil man sonst im Ranging weiter unten landet. Ihr solltet über Robots.txt oder Plugins dafür sorgen, dass Inhalte nicht sichtbar sind, die nicht sichtbar sein sollen (Impressum, Eigene Adresse, Datenschutzvereinbarung). Gerade im Kontext DSGVO wird es vermutlich wieder Anwälte geben, die mit Abmahnungen ihr Geld verdienen und aufgrund begrenzten Ressourcen eines Privatbloggers werden wir uns wohl als Zielscheibe anbieten speziell bei der Datenschutzvereinbarung. Weiterhin gibt es Plugins, die die Seite auf Suchmaschinenverträglichkeit prüfen und einen unterstützen z.B. Suchbegriffe zu Beiträgen zu erstellen
6. Vorsicht vor Addons wie Wordfence oder vergleichbar, die senken die Geschwindigkeit teilweise erheblich und sind meiner Meinung nach auch unnötig. Eine ganz normale Firewall, die eh jeder Server haben sollte reicht aus.
7. Überlegt euch bevor ihr mit einem Blog anfangt wie eure Permalinks aussehen sollen! Die Standardeinstellungen (mit dem ? in der URL) ist nicht statisch und somit nicht geeignet für Content Delivery Networks und auch nicht für Cache Addons. D.h. entweder stellt man auf den Postnamen um oder auf eine Nummer. Was besser ist, darüber streiten sich die Geister (Stichwort Suchmaschinenoptimierung ). Ich tendiere aktuell zum Postnamen als URL, habe aber selber mit Nummern gearbeitet. Eine gute Suchmaschine sollte mit beidem zurechtkommen.
8. Prüft mehrere Themes mit euren Beiträgen. Wenn ihr später das Theme wechseln möchtet, solltet ihr das beim Erstellen von Beiträgen im Hinterkopf haben. Was in einem Theme gut aussieht oder passt, muss im nächsten nicht funktionieren. Alle Blogbeiträge später umbauen macht keinen Spaß!
9. Keine Umlaute in Bildern verwenden. Wenn euer Blog mal umzieht, macht das nur Ärger. Bei mir war es zum Beispiel der Fall, als ich von einem Windows Server auf Linux umgezogen bin.
10. Desto mehr externe Funktionen ihr verwendet, desto mehr seid ihr abhängig von externer Funktionalität (genannt sei hier zum Beispiel Gravatar – das ist eh nicht DSGVO Konform – aber schick und aus meiner Sicht auch sinnvoll, weil man so einen Blogger optisch viel leichter wiedererkennt), Lovelybooks, Jetpack, Blogslovin usw. – auch hier ist weniger mehr, auch wenn es schwerfällt (ja, ich weiß – an den Tipp halte ich mich selber nicht)

Empfehlenswerte Plugins

Man findet in Blogs recht selten Infos welche Pluggins benutzt werden oder welches Theme. Warum das so ist weiß ich nicht. Natürlich hat man Zeit investiert und möchte vielleicht auch nicht, dass jeder Blog so aussieht wie der eigene. Aber andersrum macht das dein Einstieg für Neulinge auch nicht leichter.

Ich führe im Folgenden einige Plugins auf, mit denen ich gute Erfahrungen gemacht habe:

• Autoptimize (einige Optimierungen wie CSS, HTML zusammenfassen und Google Fonts, sowie extern geladene Emojies + Caching) wird durch andere Plugins besser erledigt
• Antispam Bee – der Name sagt alles und es ist eher DSGVO Konform als Akismet
• Email Subscibers & Newsletters (Newsletter, der direkt über die eigene WordPressinstallation bereitgestellt wird, ohne Einbindung in irgendwelche Netzwerke
• Google Captcha (reCAPTCHA) – verhindern von Anmeldungen von Bots
• Really Simple SSL – SSL für WordPress – nicht erforderlich, wenn die Seite durchgängig korrekt konfiguriert ist
• WP Mail SMTP – SMTP Mailversand. Im Prinzip kann WordPress das zwar auch alleine Mails verschicken aber die kommen in der Regel nicht an, weil viele Provider sie gleich als Spam ausfiltern
• Yoast SEO (Suchmaschinenoptimierung)
• Shariff Wrapper (Social Sharing Links DSGVO konform)
• Scripts to Footer (Java Scipts erst am Schluss laden), damit der initiale Seitenaufbau nicht verzögert wird
• Speed of light – Achtung, die Standardversion reicht vollkommen, man muss kein Geld ausgeben und vorsichtig sein bei den Einstellung speziell was Javascript angeht, lediglich das Precaching ist eine sinnvolle Option der Bezahlversion und das zumindest aktuell kostenlose Kontingent für ImageRecycle (weniger ist mehr)
• WP DSGVO (einige DSGVO Funktionen wie Löschanfragen und Opt z.B. für Kommentare aber in dem Bereich wird sich in den nächsten Tagen / Wochen eh noch einige tun – der Nachteil, bei diesem Plugin ist, dass sehr viel auf der Datenbank mitgeschrieben wird, was last erzeugt und Platz belegt
• Social Media Follow Buttons Bar (folge Buttons)
• Jetpack (hier gehen aktuell die Meinungen gerade stark auseinander in wieweit das mit welchen Einstellungen DSGVO Konform ist, wenn man nur Ansatzweise an die Komforfunktionen eines WordPress.com Blogs herankommen möchte (z.B. logon von WordPress.com usern, wordpress Follow funktion), kommt man um dieses Plugin aber nicht herum
• Remove IP (IP in Kommentaren vor dem Speichern entfernen – Pflicht für DSGVO)
• Blogslovin Button – wie ich finde sehr coole Variante um Blogs zu folgen und auf andere Blogs aufmerksam zu werden. Allerdings bekommt sind dort auch irgendwelche Bots als Follower unterwegs
• Block Blogslovin iframe – Verhindert, dass der Blog nur im iframe aufgerufen wird.
• Collapsing Categories / Collapsing Archives – schickere und übersichtlichere Darstellung von Archiv und Kategorien
• Universal Star Rating – Optische Symbole für Bewertungen mit 0,5er Abstufungen (Achtung, in Follower Mail erscheinen die Sterne nicht)
• Simple Pull Quote – Zitate optisch hervorheben (funktioniert auch in follower Mails)
• Redirection – Wenn man seine Permalinks ändert, dann gehen externe Links in leere. Um das zu vermeiden muss man jeden alten Link umleiten. Das ist besonders interessant, wenn man die URL Erstellung in WordPress umstellt, die alten Beiträge aber trotzdem sichtbar bleiben sollen, obwohl die Links nun andere sind.
• List URLs – siehe vorherige Punkt – Ermittlung aller Links, die umgestellt werden müssen (braucht man nicht dauerhaft aktivieren)
• Quotes Collection – Widget mit zufälligen Posts anzeigen
• Mechanic Vistor Counter – Besucher anzeigen – veraltet
• Addendio Plus – Plugins Suchen und Preview anzeigen (veraltet)
• BB Spoiler – Aufklappbare Spoiler in Beiträge einbauen
• WP Hide post – Posts oder Seiten verstecken vor Suchmachinen – geht auch über robots.txt und ist die bessere Variante
• SSL Insecure Content Fixer – Bei Problemen mit mixed Content oder Proxy Servern hilfreich – bei korrekter Konfiguration nicht erforderlich
• Async Java Script – Kann die Performance und die Bewertung bei Google Pagespeed dramatisch erhöhen, man muss aber sehr sorgfältig testen, ob danach noch alle Funktionen vorhanden sind. Die schnellste Einstellung ist Async.
• Brocken Link Checker – Prüfung auf nicht mehr funktionierende Links, die nachteilig für das eigene Suchmaschinenranking sind
• GTranslate – Automatische Übersetzung des Blogs (Achtung, das Plugin kostet einiges an Performance). Lustig ist, dass Google in Pagespeed das Plugin abstraft, es aber auf Google Technik basiert.
• Imagerecycle oder Smush – Bilder / Fotos komprimieren und optional beim Abload die Auslösung limitieren
• Nested Comments unbound – Mehr als 5 Kommentarebenen
• WP OPCache – PHP Code Puffern – Achtung das Plugin benötigt memcached auf dem Server (das ist etwas anderes als die Seite selbst zu puffern, wie  es in Speed of Light erfolgt)
• WP Statistics – Sehr mächtiges Statistikwerkezeug für WordPress einschließlich Besucherzähler
• Classic Editor – Ihr mögt den Gutenberg Editor nicht? Dann könnt ihr weiterhin den klassischen Editor benutzen
• Complianz – Cookie Consent – Cookie Richtlinie und Zustimmung
• Disable Emojis (GDPR friendly) – Emojis werden nur noch über den Browser dargestellt und nicht über externe Icons
• Self-Hosted Google Fonts – Die Google Fonts werden auf dem eigenen Server gehostet und nicht von Google nachgeladen
• GDPR Data Request Form – Anforderung oder Löschen der personenbezogenen Daten beantragen
• WP Comment Policy Checkbox – Zustimmung zur Datenschutzrichtlinie, bevor man einen Kommentar abgeben darf

Und einige Helferlein, die eher dem Monitoring oder der Administration dienen:

• WordPress phpinfo() – Anzeigen der aktuell genutzten PHP Version
• Hostinfo – Infos zum Blog und zum Server
• String Locator – Nach Strings suchen – beispielsweise, wenn man Fehlermeldungen bekommt und anschließend nach dem Coding in den Plugins suchen möchte.
• Regenerate Thumbnails – Die Thumnails werden automatisch in den von euch eingestellten größen für kleine / mittlere / große Bilder erzeugt. Wenn ihr diese Einstellung nachträglich ändert, werden die vorhandenen Thumbnails nicht neu erzeugt. Das Plugin ermöglicht er die Vorschaubilder neu zu generieren. Falls ihr das nicht macht, muss das beim Seitenaufruf live erfolgen, was die Seite langsamer macht.
• PHP / MySQL Performance Statistics – Ihr wollt wissen, ob PHP oder MySQL auf äurem Server lahm oder schnell ist? Das Plugin führt einen Test durch
• Gwolle Guestbook – Gästebuch
• Query Monitor – Hauptsächlich im Problemfall interessant. Welche Abfragen werden an die Datenbank gesendet
• WPSweep – Bereinigt die Datenbank z.B. von alten Postversionen (im Standard werden alle Versionen vorgehalten), nicht mehr genutzten Plugineinstellungen usw.

Testwerkzeuge

für Geschwindigkeitsoptimierung:

• Google Page Speed Insights
• Pingdom Website Speed Test
• Lighthouse Plugin für Chrome
• Webpagetest

für SSL:

• Qualys SSL Labs

Übergreifende Tests:

• MX-Toolbox

Welche Plugins nutzt ihr so? Welche Erfahrungen habt ihr gemacht? Wie und wo hostet ihr euren Blog und welche Vorteile oder Probleme bringt das mit sich?

Update 08.12.2019

Ich habe ein paar Ergänzungen bei den Plugins vorgenommen und einige Plugins entfernt, die ich nicht mehr Nutze bzw. nicht mehr empfehle.

Uodate 09.02.2020

Weitere Updates.