Artikelbild WordPress IP nicht bei Kommentaren speichern
Webtechniken

WordPress und DSGVO: IP-Adresse bei Kommentaren entfernen



Je mehr Input zur DSGVO kommt, umso mehr Gedanken kommen: „Wo muss man noch so dran denken?“ Zum Beispiel daran, dass WordPress bei Kommentaren die IP-Adressen der Nutzer speichert…

Die Kommentarfunktion in Blogs ist eine tolle Sache, leider speichert WordPress neben dem Namen und der E-Mail-Adresse auch die IP-Adresse des Nutzers ab. Selbst wenn die DSGVO erst im Mai aktiv wird, ist auch heute schon eine vollständige Speicherung der IP-Adresse unzulässig. Die Speicherung des Namen und der E-Mail können aber in die Bereich des „berechtigten Interesses“ des Webseitenbetreibers fallen.

Anzeige

Hier wird es zukünftig wohl auch für jeden Kommentar ein Häkchen geben müssen, damit der oder die Kommentierende der Speicherung zustimmt bzw. darüber informiert wird.

IP-Adresse löschen: Plugin oder manuell

Natürlich gibt es auch zum Anonymisieren der IP-Adresse ein Plugin. Das ist aber bereits zwei Jahre alt, seitdem nicht aktualisiert und ob es in zukünftigen oder aktuellen WordPress-Versionen noch funktionieren wird…?

Remove IP Plugin
Zwei Jahre altes Plugin

Da ich die Liste der installierten Plugins gerne so schlank wie möglich halte, gibt es natürlich auch die Möglichkeit, über die functions.php selbst in den Vorgang einzugreifen.
Idealerweise wird bereits ein Child-Theme verwendet, damit eigene Änderungen und Ergänzungen am Theme auch nach einem Update erhalten bleiben. Hier wird erklärt, wie ein Child-Theme für WordPress angelegt wird.

Code in die functions.php einfügen

Um die Speicherung der IP-Adresse zu vermeiden, muss in die functions.php des Child-Themes folgenden Code einfügen:

Damit wird die IP-Adresse des Nutzers nicht mehr abgespeichert:

Entfernte IP Adresse
Im neuen Kommentar ist keine IP-Adresse mehr vorhanden

So weit, so einfach. Doch was ist mit den vorhandenen Kommentaren und den dazu gespeicherten IP-Adressen? Können diese einfach drin bleiben? IP-Adressen werden in der Regel vom Provider dynamisch vergeben und ob sich viele Jahre alte Kommentare immer noch mit einer IP-Adresse zurückverfolgen lassen können?

Erfolgreich mit Pinterest – Das Ebook
Jetzt auf Pinterest durchstarten!

Wie auch immer, vermutlich werden viele Details der DSGVO und deren (Un)-Möglichkeiten erst in diversen Gerichtsverfahren rechtlich festgezurrt werden. Der sicherste Weg ist auf jeden Fall, die IP-Adressen der bestehenden Kommentare aus der Datenbank zu entfernen.
Jetzt wird also Zugriff auf die Datenbank beim Hoster benötigt. Die meisten Hoster stellen das Tool phpMyAdmin zur Verfügung und an diesem Beispiel sei der Vorgang beschrieben.

DSGVO Videokurs
Anzeige

IP-Adressen der Kommentare aus der WordPress-Datenbank entfernen

Die Kommentare werden in der Datenbanktabelle xx_comments gespeichert. xx_ steht für das bei der Installation angegebene Datenbank-Prefix. Bei den allermeisten Installationen dürfte hier wp_comments stehen.

In dieser Tabelle gibt es die Spalte comment_author_IP.

Die Tabelle wp_comments
Auszug der Tabelle wp_comments

Aus dieser Spalte müssen nun die Adressen entfernt werden. Das geht einmal per Hand (lohnt nur bei wenigen Kommentaren), leichter ist es aber alle Zeilen der Spalte mit einem SQL-Befehl mit einem leeren Wert zu überschreiben.
Dafür muss im Menü von phpMyAdmin „SQL“ ausgewählt werden und folgender SQL-Befehl dort eingetippt oder eingefügt werden:

Den Tabellennamen xx_comments natürlich mit dem Richtigen ersetzen!

Das Ergebnis nach Absenden des Befehls sollte dann so aussehen:

Kommentar-IPs aus WordPress entfernen
IP entfernt bei 173 Kommentaren

Und der Inhalte der Datenbanktabelle so:

Gelöschte WordPress-IPs
Spalte leer: Gelöschte Kommentar-IPs

Ja, die DSGVO nervt. Gerade für kleine Seitenbetreiber entstehen fürchterlich viele Fallen, in die man reintappen kann. Diese „Kleinigkeit“ hier gehört mit dazu. Ob WordPress selber in späteren Versionen auf die Speicherung der IP-Adresse verzichten oder diese wenigstens anonymisieren wird, sei einmal dahingestellt.

DSGVO Videokurs
Anzeige

Ebenfalls hilfreich für kleine Webmaster ist das Infoheft der Bayerischen Landesdatenschutzbehörde*. Hier gibt es Beispiele und Infos zu den Dingen, die auch offline erledigt werden müssen (Verfahrensverzeichnisse, TOM etc.).
WordPress 4.9.6 liefert zwar jetzt eine Checkbox bei den Kommentaren mit, diese ist jedoch nicht unbedingt gut umgesetzt. Wie diese besser gemacht werden kann, steht in diesem Artikel.

Anzeige

*Partnerlink zu Amazon



Summary
WordPress und DSGVO: IP-Adresse bei Kommentaren entfernen
Article Name
WordPress und DSGVO: IP-Adresse bei Kommentaren entfernen
Description
Personenbezogene Daten speichern? Dazu gehört auch die IP-Adresse des Nutzers. WordPress speichert bei diese Kommentaren mit ab und ist so nicht konform zum Datenschutz. So lässt sich die Speicherung verhindern.
Author
kritzelblog.de

41 Kommentare zu “WordPress und DSGVO: IP-Adresse bei Kommentaren entfernen

  1. Das Snippet rockt, da hatte meine Suche ja ein erfreulich schnelles Ende ;-)

    Ich bin auch gerade dabei meine Seite bzgl. der nahenden DSGVO noch genauer unter die Lupe zu nehmen und die Kommentar IPs waren ein wichtiger Punkt.
    So als kleiner Denkanstoss in Hinblick auf DSGVO:
    Du hast in Deinem Blog noch die Gravatare an und auch die in WordPress 4.2 eingeführten Emoticons, womit Du eine Menge Daten Richtung USA => WordPress bzw. Automattic schaufelst. Ist auch einen Blick wert.

    Abhilfe für die Emoticons:
    remove_action( ‚wp_head‘, ‚print_emoji_detection_script‘, 7 );
    remove_action( ‚wp_print_styles‘, ‚print_emoji_styles‘ );

    Will man es noch weiter treiben müssten man als nächstes wohl die vom CDNs übertragenen Dateien (JS und Fonts) überprüfen.
    Der WP Filter funktioniert jedenfalls, Danke fürs teilen.

    • Ja, die Funktion wird wohl auch deaktiviert werden müssen. WordPress ist ab dem 25. Mai in der Grundinstallation vermutlich eine „illegale“ Software :-)

      • Das steht zu befürchten, leider. Auch wenn Privacy wohl mittlerweile auf der WP Core Roadmap steht, liegt es ja am Ende dennoch primär am Theme, den Features und genutzten Embeds wie „datensicher“ eine Webseite ist.

  2. Hallo, ich bin via Google auf Ihre seite gestoßen, Ich blicke überhaupt nicht mehr durch, habe mir hier https://datenschutz-generator.de/ den Datenschutzhinweis generieren lassen,

    Hier steht nun, dass ich auf verlangen, alle personenbezogenen Daten Löschen muss bzw auch zur Einsicht raus rücken muss.

    ich weis aber nicht wie genau das geht? ich habe nur die Kostenlose Version, und da sind die Einstellungsmöglichkeiten sehr Begrenzt!

    ich möchte ungern, die Kommentar Funkion deaktivieren, oder die sozial media Pluggins deinstallieren, da mich das an Reichweite kosten würde.

    Was soll ich machen? bzw vor allem wie? Hätten sie evtl paar Tipps für mich?

    LG Markus

    • Im Prinzip wären personenbezogene Daten dann die Kommentare inkl. der dazu gespeicherten Daten. Diese dürfen aber eh dann erst erhoben werden, wenn die Person zustimmt.
      Wie weit wordpress.com als Fertiglösung den neuen Anforderungen entspricht und ob WordPress oder der Nutzer dafür in der Verantwortung steht – das kann ich nicht sagen.

  3. Pingback: DGSVO als Blogger - Was haben wir auf unserem Blog umgesetzt?

  4. Pingback: Infos zu Datenschutzerklärungen, SSL / HTTPS und Kontaktformularen | WordPress Webdesign Bremen Oldenburg

  5. Hey :)
    Super hilfreicher Beitrag und ich habe versucht den Code in die functions.php einzufügen, allerdings zerhaut der mir dann leider die Beiträge :( Weißt du, woran das liegen kann? Der zeigt mir den Code dann einfach oben auf der Seite an, dann kommt ne große schwarze Fläche und dann erst der Beitrag :/

    Danke und liebe Grüße
    Diandra

  6. „Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. “ – dann muß ich als Betreiber eines privaten Blogs doch eigentlich garnichts machen – oder?

    • Theroretisch ja. Sobald du aber Links zu Partnerprogrammen setzt, handelst du in weitestem Sinne gewerblich und nicht mehr familiär.

  7. Pingback: DSGVO Checkliste für Blogs | Compliance bis 25. Mai verpflichtend

  8. Pingback: Bauarbeiten am Blog | König von Haunstetten

  9. Vielen Dank, das war sehr hilfreich. Ich dachte, ich hätte meine Checkliste abgearbeitet, aber es gibt so viel, an das noch nicht gedacht wurde… oder einfach zu wenig. z.B. eben das hier, die Fonts, Emojis, etc. ^^ Sehr nervig.

  10. Vielen Dank für Deinen Beitrag und die genannten Lösungsansätze.

    Erwähnenswert finde ich auf alle Fälle noch, dass beim schreiben von Kommentaren Cookies gesetzt werden.

    Eine Codezeile, um dies zu unterbinden, fand ich hier: http://sumtips.com/2012/07/disable-wordpress-comment-form-user-details-cookie.html

  11. Pingback: I´m a Blogger | Nähkäschtle

  12. Pingback: Die neue DSGVO und wie ich versuche alles richtig zu machen ~ Lilienmeer.de

  13. Pingback: Die DSGVO und was sich hier im Blog ändert | vom Landleben

  14. Danke, Steffen, du hast mir mit deinem Artikel schnell geholfen. Stand tatsächlich auch vor dem WordPress-Problem und bin nun wirklich kein Coder vor dem Herrn. :-)

  15. Pingback: Erfolgreiche Suchmaschinen Optimierung für die Handwerker Webseite...

  16. Pingback: Hilfe zur DGSVO für Webseiten Betreiber

  17. Hi Steffen,

    vielen Dank für die TIpps.

    Sowohl functions.php als auch Datenbank haben sauber funktioniert.

    Viele Grüße und noch eine schöne Woche

    Nils

  18. das sind alles böhmische Dörfer für mich
    ich bin allerdings bei Blogger
    das ganze Internet ist auf IP Adressen aufgebaut..ich verstehe nicht warum die auf einmal so „verteufelt“ werden
    wenn es selbst der Poizei nicht gelingt Rechtsbrecher im Net anhand ihrer IP Adresse aufzuspüren
    was könnte ich dann damit anfangen auch was Schriften und Smilies mit Datenschutz zu tun haben geht irgendwie nicht in meinen Kopf
    ich nutze das was mir von Blogger angeboten wird und ging davon aus dass es alles seine Richtigkeit hat
    Gravatar..sind das die Avatarbilder?Die stellt doch jeder Blogger selber zur Verfügung
    warum sind die jetzt nicht mehr erlaubt?
    Manche haben ihre Blogroll gelöscht
    ausch das verstehe ich nicht
    andere schließen ihren Blog gleich ganz
    aber das käme bei mir erst ganz am Schluß in Frage
    wie vielen alten , einsamen und eingeschränkten Menschen wird hier eine Möglichkeit der Kommunikation genommen
    weil sie sich nicht auskennen und dann lieber aufhören :(
    jeder der im Net unterwegs ist weiß doch dass seine Daten abgegriffen werden
    und wer sich auf Seiten ausserhalb der EU aufhält hat dann ja auch keinen „Schutz“
    bisher bin ich auch ohne diesen erweiterten Datenschutz klar gekommen
    und mir hat keiner geschadet..
    warum kann man die Privaten nicht da raus lassen ..
    ich verstehs nicht
    (hier ist aber auch nix zum Zustimmen bei den Kommentaren ;)

    liebe Grüße
    Rosi

    • Hallo Rosi,
      die Funktionen kommen hier auch noch – momentan müssen erstmal andere abgearbeitet werden.
      Auch wenn jeder weiß, dass Daten abgegriffen werden ist es noch lange kein Grund es zu tun. Im Prinzip ist es ganz gut, wenn Google und Konsorten mal eins auf die Fingerchen bekommen. Aber die werden über kurz oder lang Lücken finden wieder die alte Schiene zu fahren.

      • genau das ist ja das Problem..
        die Großen mogeln sich durch und die Kleinen haben das Nachsehen
        ich hoffe nur dass ich mit meinem kleinen Blogger blog wirklich so durchkomme
        denn alles was hier geschrieben steht kenne ich nicht
        ich wüßte nicht wo ich was einstellen oder ändern sollte
        eine Datenschutzerklärung habe ich geschrieben und das sollte dann reichen
        ich habe aber auch noch nie eine IP Adresse von jemand der mich besucht oder kommentiert gesehen
        ich wüßte auch nicht wo ich die noch suchen sollte
        LG
        Rosi

  19. Pingback: die DSGVO und mein (Mama)Blog - Checkliste & Worksheet » leben-lieben-larifari.de

  20. hallo steffen:) wo kann ich mich bezüglich wordpress.com informieren?….wäre sehr dankbar für deine antwort..danke und alles liebe lisa

  21. Pingback: die DSGVO und mein (Mama)Blog - Checkliste & Worksheet - Leben, Lieben, Larifari

  22. Pingback: Mein Umzug von Blogger nach Wordpress - Frau Locke

  23. Vielen Dank!

    Auch dafür, dass endlich einmal eine Meinung über die Machenschaften aus Brüssel geäußert wird.

    Alle fürchten sich vor den Verordnungen, akzeptieren aber alles unkommentiert. Dies DSGVO ist ein Witz. Die großen Datensammler lachen sich darüber kaputt. Wer liest deren Datenschutzerklärungen und welcher normale Webseitenbesucher versteht was dahinter steckt?

    Die Macher der DSGVO sollten zur Verantwortung gezogen werden. Das ist pure Steuergeld-Verschwendung und sinnloser Aufbau weiterer nutzloser Bürokratie.

    Wir sollten uns nicht so klein machen!

  24. Lilith

    Ich würde gerne auch die E-Mail Adressen der Kommentare löschen.
    Gibts dafür auch ein Plugin.
    Da ich die Kommentarfunktion nun abgeschalten habe brauche ich sie nur einmal und will nicht 142 Kommentare einzeln bearbeiten.

    Danke im Voraus

    • Das gleiche wie mit der IP-Adresse, nur mit der Spalte E-Mail: UPDATE xx_comments SET comment_author_email = ‚ ‚;

  25. Danke, hat super geklappt. Allerdings scheint es so, dass die in der Blacklist (WP-SpamShield) hinterlegten IP-Adressen ab sofort ignoriert werden.

    Gibt es eine Möglichkeit, dass vor der Anonymisierung ein Abgleich mit einer Blacklist vorangeht?

    Danke

    VG

    • Das geht bestimmt, klingt aber nach ein wenig mehr als das ein einfacher SQL-Befehl reichen würde. Ich kenne das Plugin aber auch nicht – wo liegt denn diese Blacklist? Lokal?

  26. In der SQL Datenbank. Das Plugin soll zu 100% mit der neuen DSGVO Richtlinie kompatibel sein.

    Ich habe zwischenzeitlich noch diesen PHP Befehl im Netz entdeckt. Hier soll die Funktion zumindest mit Antispam Bee durch die Auslösepriorität 50 funktionieren.

    function replace_comment_ip() {
    return „127.0.0.1“;
    }
    add_filter( ‚pre_comment_user_ip‘, ‚replace_comment_ip‘, 50);

    Mal schauen, vielleicht wechsle ich auf Antispam Bee.

  27. Hi Steffen,

    da ich im normalen Leben „bloß“ eine Krankenschwester bin, ist das komplette Thema fast super Neuland für mich und mit Codes kenne ich mich kaum aus. Wo in der functions.php muss ich den Code dann einsetzen?? Und ich habe gelesen, dass man Änderungen am besten im FTP vornimmt als auf der Admin-Seite. Was sind deine Erfahrungen dazu? Das Programm Filezilla habe ich bereits dazu, da ich letztens im FTP das Theme neu installieren musste :-O.

    Wäre cool, wenn du mir helfen könntest.

    LG Melanie

    • Wenn du über Design -> Editor die functions.php änderst, geht das eigentlich genauso gut. Du solltest nur ein Child-Theme verwenden.
      Den Code fügst du einfach ans Ende der Datei ein.
      Mit FTP kannst du Dateien von deinem Computer auf den Server und zurück übertragen. Wenn also viel am Theme geändert werden muss, ist es sinnvoll das lokal am Rechner zu machen und die Dateien dann erst hochzuladen.

  28. Hey,

    danke für die tolle Anleitung. Kannst du mir eventuell auch sagen, welchen Code ich in die functions.php eingeben kann/muss, damit auch die Angaben zum Browser, etc. (comment_agent) nicht in der Datenbank gespeichert werden? Die brauche ich nämlich gar nicht, sie werden aber automatisch in der Datenbank gespeichert.

    LG, Stephie

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere die Datenschutzhinweise.