Je mehr Input zur DSGVO kommt, umso mehr Gedanken kommen: „Wo muss man noch so dran denken?“ Zum Beispiel daran, dass WordPress bei Kommentaren die IP-Adressen der Nutzer speichert…
Die Kommentarfunktion in Blogs ist eine tolle Sache, leider speichert WordPress neben dem Namen und der E-Mail-Adresse auch die IP-Adresse des Nutzers ab. Selbst wenn die DSGVO erst im Mai aktiv wird, ist auch heute schon eine vollständige Speicherung der IP-Adresse unzulässig. Die Speicherung des Namen und der E-Mail können aber in die Bereich des „berechtigten Interesses“ des Webseitenbetreibers fallen.
Hier wird es zukünftig wohl auch für jeden Kommentar ein Häkchen geben müssen, damit der oder die Kommentierende der Speicherung zustimmt bzw. darüber informiert wird.
IP-Adresse löschen: Plugin oder manuell
Natürlich gibt es auch zum Anonymisieren der IP-Adresse ein Plugin. Das ist aber bereits zwei Jahre alt, seitdem nicht aktualisiert und ob es in zukünftigen oder aktuellen WordPress-Versionen noch funktionieren wird…?
Zwei Jahre altes Plugin
Da ich die Liste der installierten Plugins gerne so schlank wie möglich halte, gibt es natürlich auch die Möglichkeit, über die functions.php selbst in den Vorgang einzugreifen.
Idealerweise wird bereits ein Child-Theme verwendet, damit eigene Änderungen und Ergänzungen am Theme auch nach einem Update erhalten bleiben. Hier wird erklärt, wie ein Child-Theme für WordPress angelegt wird.
Code in die functions.php einfügen
Um die Speicherung der IP-Adresse zu vermeiden, muss in die functions.php des Child-Themes folgenden Code einfügen:
|
1 2 3 4 |
function wpb_remove_commentsip( $comment_author_ip ) { return ''; } add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' ); |
Damit wird die IP-Adresse des Nutzers nicht mehr abgespeichert:
Im neuen Kommentar ist keine IP-Adresse mehr vorhanden
So weit, so einfach. Doch was ist mit den vorhandenen Kommentaren und den dazu gespeicherten IP-Adressen? Können diese einfach drin bleiben? IP-Adressen werden in der Regel vom Provider dynamisch vergeben und ob sich viele Jahre alte Kommentare immer noch mit einer IP-Adresse zurückverfolgen lassen können?
Jetzt auf Pinterest durchstarten!
Wie auch immer, vermutlich werden viele Details der DSGVO und deren (Un)-Möglichkeiten erst in diversen Gerichtsverfahren rechtlich festgezurrt werden. Der sicherste Weg ist auf jeden Fall, die IP-Adressen der bestehenden Kommentare aus der Datenbank zu entfernen.
Jetzt wird also Zugriff auf die Datenbank beim Hoster benötigt. Die meisten Hoster stellen das Tool phpMyAdmin zur Verfügung und an diesem Beispiel sei der Vorgang beschrieben.
IP-Adressen der Kommentare aus der WordPress-Datenbank entfernen
Die Kommentare werden in der Datenbanktabelle xx_comments gespeichert. xx_ steht für das bei der Installation angegebene Datenbank-Prefix. Bei den allermeisten Installationen dürfte hier wp_comments stehen.
In dieser Tabelle gibt es die Spalte comment_author_IP.
Auszug der Tabelle wp_comments
Aus dieser Spalte müssen nun die Adressen entfernt werden. Das geht einmal per Hand (lohnt nur bei wenigen Kommentaren), leichter ist es aber alle Zeilen der Spalte mit einem SQL-Befehl mit einem leeren Wert zu überschreiben.
Dafür muss im Menü von phpMyAdmin „SQL“ ausgewählt werden und folgender SQL-Befehl dort eingetippt oder eingefügt werden:
|
1 |
UPDATE xx_comments SET comment_author_IP = ' '; |
Den Tabellennamen xx_comments natürlich mit dem Richtigen ersetzen!
Das Ergebnis nach Absenden des Befehls sollte dann so aussehen:
IP entfernt bei 173 Kommentaren
Und der Inhalte der Datenbanktabelle so:
Spalte leer: Gelöschte Kommentar-IPs
Ja, die DSGVO nervt. Gerade für kleine Seitenbetreiber entstehen fürchterlich viele Fallen, in die man reintappen kann. Diese „Kleinigkeit“ hier gehört mit dazu. Ob WordPress selber in späteren Versionen auf die Speicherung der IP-Adresse verzichten oder diese wenigstens anonymisieren wird, sei einmal dahingestellt.
Ebenfalls hilfreich für kleine Webmaster ist das Infoheft der Bayerischen Landesdatenschutzbehörde*. Hier gibt es Beispiele und Infos zu den Dingen, die auch offline erledigt werden müssen (Verfahrensverzeichnisse, TOM etc.).
WordPress 4.9.6 liefert zwar jetzt eine Checkbox bei den Kommentaren mit, diese ist jedoch nicht unbedingt gut umgesetzt. Wie diese besser gemacht werden kann, steht in diesem Artikel.
*Partnerlink zu Amazon
Das Snippet rockt, da hatte meine Suche ja ein erfreulich schnelles Ende ;-)
Ich bin auch gerade dabei meine Seite bzgl. der nahenden DSGVO noch genauer unter die Lupe zu nehmen und die Kommentar IPs waren ein wichtiger Punkt.
So als kleiner Denkanstoss in Hinblick auf DSGVO:
Du hast in Deinem Blog noch die Gravatare an und auch die in WordPress 4.2 eingeführten Emoticons, womit Du eine Menge Daten Richtung USA => WordPress bzw. Automattic schaufelst. Ist auch einen Blick wert.
Abhilfe für die Emoticons:
remove_action( ‚wp_head‘, ‚print_emoji_detection_script‘, 7 );
remove_action( ‚wp_print_styles‘, ‚print_emoji_styles‘ );
Will man es noch weiter treiben müssten man als nächstes wohl die vom CDNs übertragenen Dateien (JS und Fonts) überprüfen.
Der WP Filter funktioniert jedenfalls, Danke fürs teilen.
Ja, die Funktion wird wohl auch deaktiviert werden müssen. WordPress ist ab dem 25. Mai in der Grundinstallation vermutlich eine „illegale“ Software :-)
Das steht zu befürchten, leider. Auch wenn Privacy wohl mittlerweile auf der WP Core Roadmap steht, liegt es ja am Ende dennoch primär am Theme, den Features und genutzten Embeds wie „datensicher“ eine Webseite ist.
Hallo, ich bin via Google auf Ihre seite gestoßen, Ich blicke überhaupt nicht mehr durch, habe mir hier https://datenschutz-generator.de/ den Datenschutzhinweis generieren lassen,
Hier steht nun, dass ich auf verlangen, alle personenbezogenen Daten Löschen muss bzw auch zur Einsicht raus rücken muss.
ich weis aber nicht wie genau das geht? ich habe nur die Kostenlose Version, und da sind die Einstellungsmöglichkeiten sehr Begrenzt!
ich möchte ungern, die Kommentar Funkion deaktivieren, oder die sozial media Pluggins deinstallieren, da mich das an Reichweite kosten würde.
Was soll ich machen? bzw vor allem wie? Hätten sie evtl paar Tipps für mich?
LG Markus
Im Prinzip wären personenbezogene Daten dann die Kommentare inkl. der dazu gespeicherten Daten. Diese dürfen aber eh dann erst erhoben werden, wenn die Person zustimmt.
Wie weit wordpress.com als Fertiglösung den neuen Anforderungen entspricht und ob WordPress oder der Nutzer dafür in der Verantwortung steht – das kann ich nicht sagen.
Pingback:DGSVO als Blogger - Was haben wir auf unserem Blog umgesetzt?
Pingback:Infos zu Datenschutzerklärungen, SSL / HTTPS und Kontaktformularen | WordPress Webdesign Bremen Oldenburg
Hey :)
Super hilfreicher Beitrag und ich habe versucht den Code in die functions.php einzufügen, allerdings zerhaut der mir dann leider die Beiträge :( Weißt du, woran das liegen kann? Der zeigt mir den Code dann einfach oben auf der Seite an, dann kommt ne große schwarze Fläche und dann erst der Beitrag :/
Danke und liebe Grüße
Diandra
Hast du das ganz am Ende der Datei eingefügt?
„Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. “ – dann muß ich als Betreiber eines privaten Blogs doch eigentlich garnichts machen – oder?
Theroretisch ja. Sobald du aber Links zu Partnerprogrammen setzt, handelst du in weitestem Sinne gewerblich und nicht mehr familiär.
Pingback:DSGVO Checkliste für Blogs | Compliance bis 25. Mai verpflichtend
Pingback:Bauarbeiten am Blog | König von Haunstetten
Vielen Dank, das war sehr hilfreich. Ich dachte, ich hätte meine Checkliste abgearbeitet, aber es gibt so viel, an das noch nicht gedacht wurde… oder einfach zu wenig. z.B. eben das hier, die Fonts, Emojis, etc. ^^ Sehr nervig.
Vielen Dank für Deinen Beitrag und die genannten Lösungsansätze.
Erwähnenswert finde ich auf alle Fälle noch, dass beim schreiben von Kommentaren Cookies gesetzt werden.
Eine Codezeile, um dies zu unterbinden, fand ich hier: http://sumtips.com/2012/07/disable-wordpress-comment-form-user-details-cookie.html
Pingback:I´m a Blogger | Nähkäschtle
Pingback:Die neue DSGVO und wie ich versuche alles richtig zu machen ~ Lilienmeer.de
Pingback:Die DSGVO und was sich hier im Blog ändert | vom Landleben
Danke, Steffen, du hast mir mit deinem Artikel schnell geholfen. Stand tatsächlich auch vor dem WordPress-Problem und bin nun wirklich kein Coder vor dem Herrn. :-)
Freut mich :-)
Pingback:Erfolgreiche Suchmaschinen Optimierung für die Handwerker Webseite...
Pingback:Hilfe zur DGSVO für Webseiten Betreiber
DANKE.
Hi Steffen,
vielen Dank für die TIpps.
Sowohl functions.php als auch Datenbank haben sauber funktioniert.
Viele Grüße und noch eine schöne Woche
Nils
das sind alles böhmische Dörfer für mich
ich bin allerdings bei Blogger
das ganze Internet ist auf IP Adressen aufgebaut..ich verstehe nicht warum die auf einmal so „verteufelt“ werden
wenn es selbst der Poizei nicht gelingt Rechtsbrecher im Net anhand ihrer IP Adresse aufzuspüren
was könnte ich dann damit anfangen auch was Schriften und Smilies mit Datenschutz zu tun haben geht irgendwie nicht in meinen Kopf
ich nutze das was mir von Blogger angeboten wird und ging davon aus dass es alles seine Richtigkeit hat
Gravatar..sind das die Avatarbilder?Die stellt doch jeder Blogger selber zur Verfügung
warum sind die jetzt nicht mehr erlaubt?
Manche haben ihre Blogroll gelöscht
ausch das verstehe ich nicht
andere schließen ihren Blog gleich ganz
aber das käme bei mir erst ganz am Schluß in Frage
wie vielen alten , einsamen und eingeschränkten Menschen wird hier eine Möglichkeit der Kommunikation genommen
weil sie sich nicht auskennen und dann lieber aufhören :(
jeder der im Net unterwegs ist weiß doch dass seine Daten abgegriffen werden
und wer sich auf Seiten ausserhalb der EU aufhält hat dann ja auch keinen „Schutz“
bisher bin ich auch ohne diesen erweiterten Datenschutz klar gekommen
und mir hat keiner geschadet..
warum kann man die Privaten nicht da raus lassen ..
ich verstehs nicht
(hier ist aber auch nix zum Zustimmen bei den Kommentaren ;)
liebe Grüße
Rosi
Hallo Rosi,
die Funktionen kommen hier auch noch – momentan müssen erstmal andere abgearbeitet werden.
Auch wenn jeder weiß, dass Daten abgegriffen werden ist es noch lange kein Grund es zu tun. Im Prinzip ist es ganz gut, wenn Google und Konsorten mal eins auf die Fingerchen bekommen. Aber die werden über kurz oder lang Lücken finden wieder die alte Schiene zu fahren.
genau das ist ja das Problem..
die Großen mogeln sich durch und die Kleinen haben das Nachsehen
ich hoffe nur dass ich mit meinem kleinen Blogger blog wirklich so durchkomme
denn alles was hier geschrieben steht kenne ich nicht
ich wüßte nicht wo ich was einstellen oder ändern sollte
eine Datenschutzerklärung habe ich geschrieben und das sollte dann reichen
ich habe aber auch noch nie eine IP Adresse von jemand der mich besucht oder kommentiert gesehen
ich wüßte auch nicht wo ich die noch suchen sollte
LG
Rosi
Rosi,
grundsätzlich würde ich mir als kleiner, privater Blogger nicht allzuviele Gedanken machen.
Schreibst Du Rundmails mit den erhaltenen Daten?
Nutzt Du Tracking-Cookies, um etwaige spezielle „Werbungen“ zu schalten?
Ich denke erstmal wird der Fokus auf „den Großen“ sein. Mit der Zeit wird ohnehin auf allen Plattformen alles dafür angepasst werden, da hab ich gar keine Bedenken.
Ich stelle selber einen Einmann-Betrieb und einer Website und stehe vor den selben Problemen, obwohl ich auch kein „Direktmarketing“ betreibe.
Auf der einen Seite wollen die Leute die absolute Sicherheit, auf der anderen Seite kann keiner so recht nachvollziehen, woher die ganzen Vorgaben kommen.
Aber das richtig krasse kommt erst noch mit der ePrivacy-Verordnung…
Pingback:die DSGVO und mein (Mama)Blog - Checkliste & Worksheet » leben-lieben-larifari.de
hallo steffen:) wo kann ich mich bezüglich wordpress.com informieren?….wäre sehr dankbar für deine antwort..danke und alles liebe lisa
Pingback:die DSGVO und mein (Mama)Blog - Checkliste & Worksheet - Leben, Lieben, Larifari
Pingback:Mein Umzug von Blogger nach Wordpress - Frau Locke
Vielen Dank!
Auch dafür, dass endlich einmal eine Meinung über die Machenschaften aus Brüssel geäußert wird.
Alle fürchten sich vor den Verordnungen, akzeptieren aber alles unkommentiert. Dies DSGVO ist ein Witz. Die großen Datensammler lachen sich darüber kaputt. Wer liest deren Datenschutzerklärungen und welcher normale Webseitenbesucher versteht was dahinter steckt?
Die Macher der DSGVO sollten zur Verantwortung gezogen werden. Das ist pure Steuergeld-Verschwendung und sinnloser Aufbau weiterer nutzloser Bürokratie.
Wir sollten uns nicht so klein machen!
Ich würde gerne auch die E-Mail Adressen der Kommentare löschen.
Gibts dafür auch ein Plugin.
Da ich die Kommentarfunktion nun abgeschalten habe brauche ich sie nur einmal und will nicht 142 Kommentare einzeln bearbeiten.
Danke im Voraus
Das gleiche wie mit der IP-Adresse, nur mit der Spalte E-Mail: UPDATE xx_comments SET comment_author_email = ‚ ‚;
Danke, hat super geklappt. Allerdings scheint es so, dass die in der Blacklist (WP-SpamShield) hinterlegten IP-Adressen ab sofort ignoriert werden.
Gibt es eine Möglichkeit, dass vor der Anonymisierung ein Abgleich mit einer Blacklist vorangeht?
Danke
VG
Das geht bestimmt, klingt aber nach ein wenig mehr als das ein einfacher SQL-Befehl reichen würde. Ich kenne das Plugin aber auch nicht – wo liegt denn diese Blacklist? Lokal?
In der SQL Datenbank. Das Plugin soll zu 100% mit der neuen DSGVO Richtlinie kompatibel sein.
Ich habe zwischenzeitlich noch diesen PHP Befehl im Netz entdeckt. Hier soll die Funktion zumindest mit Antispam Bee durch die Auslösepriorität 50 funktionieren.
function replace_comment_ip() {
return „127.0.0.1“;
}
add_filter( ‚pre_comment_user_ip‘, ‚replace_comment_ip‘, 50);
Mal schauen, vielleicht wechsle ich auf Antispam Bee.
Hi Steffen,
da ich im normalen Leben „bloß“ eine Krankenschwester bin, ist das komplette Thema fast super Neuland für mich und mit Codes kenne ich mich kaum aus. Wo in der functions.php muss ich den Code dann einsetzen?? Und ich habe gelesen, dass man Änderungen am besten im FTP vornimmt als auf der Admin-Seite. Was sind deine Erfahrungen dazu? Das Programm Filezilla habe ich bereits dazu, da ich letztens im FTP das Theme neu installieren musste :-O.
Wäre cool, wenn du mir helfen könntest.
LG Melanie
Wenn du über Design -> Editor die functions.php änderst, geht das eigentlich genauso gut. Du solltest nur ein Child-Theme verwenden.
Den Code fügst du einfach ans Ende der Datei ein.
Mit FTP kannst du Dateien von deinem Computer auf den Server und zurück übertragen. Wenn also viel am Theme geändert werden muss, ist es sinnvoll das lokal am Rechner zu machen und die Dateien dann erst hochzuladen.
Hey,
danke für die tolle Anleitung. Kannst du mir eventuell auch sagen, welchen Code ich in die functions.php eingeben kann/muss, damit auch die Angaben zum Browser, etc. (comment_agent) nicht in der Datenbank gespeichert werden? Die brauche ich nämlich gar nicht, sie werden aber automatisch in der Datenbank gespeichert.
LG, Stephie
So auf die Schnelle: Keine Ahnung ;-)
Lass drin, frisst kein Brot und ist nicht personenbezogen.
Pingback:Datenschutz-Checkbox für WordPress-Kommentare manuell einbauen
Pingback:DSGVO Checkliste | Alltag Raus - Reiseblog
Pingback:DSGVO: IP-Adressen aus WordPress-Kommentaren entfernen | Mediengestaltung Torsten Kelsch
Danke für den hilfreichen Beitrag. WordPress kann manchmal nicht ganz einfach sein. Danke für deine Erklärung. Liebe Grüße
Vielen Dank für den Beitrag.
Pingback:Wordpress 5 Gutenberg deaktivieren - Wordpress agentur münchen
Pingback:SSL Verschlüsselung und SEO - Wordpress agentur münchen
Pingback:DSGVO & WordPress: Technische Maßnahmen, die du umsetzen solltest
Pingback:DSGVO, WordPress und Kommentare • PAVIDOS BLOG
Sehr hilfreich ! Vor allem wegen SEO !
Danke vielmals !
Pingback:DSGVO & WordPress: Technische Maßnahmen, die du jetzt umsetzen solltest – WebMasterService N3rds@Work
Eine simple, verständliche Anleitung. Vielen Dank dafür!
LG, Nina