Successfully reported this slideshow.
Your SlideShare is downloading. ×

DSGVO und WordPress

Ad

DSGVO und
WordPress
Ein Blick ins System

Ad

Phil Marx
2
@JustPhilMarx
www.webfalken.de / phil.marx@gmail.com
Erste Webseite 1997 / WordPress Enthusiast seit v2.x

Ad

3
Keine Rechtsberatung – kein Jurist!

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Ad

Loading in …3
×

Check these out next

1 of 38 Ad
1 of 38 Ad

DSGVO und WordPress

Die Präsentation vom WordPress Meetup Berlin am 26. Juli 2018 über besondere Aspekte, die man bei der Umsetzung der DSGVO beim Einsatz von WordPress beachten sollte. Da zu gibt es einige Plugin-Tipps.

Die Präsentation vom WordPress Meetup Berlin am 26. Juli 2018 über besondere Aspekte, die man bei der Umsetzung der DSGVO beim Einsatz von WordPress beachten sollte. Da zu gibt es einige Plugin-Tipps.

DSGVO und WordPress

  1. 1. DSGVO und WordPress Ein Blick ins System
  2. 2. Phil Marx 2 @JustPhilMarx www.webfalken.de / phil.marx@gmail.com Erste Webseite 1997 / WordPress Enthusiast seit v2.x
  3. 3. 3 Keine Rechtsberatung – kein Jurist!
  4. 4. 4 Fragen zur DSGVO selbst? Vieles klärt sich im Vortrag Ansonsten danach!
  5. 5. DSGVO – grober Überblick Wie war das noch einmal? 1
  6. 6. Worum geht es bei der DSGVO? ▰ Schutz von personenbezogenen Daten ▻IP-Adresse ist ein personenbezogener Datensatz ▰ Betroffene haben diverse Rechte, unter Anderem ▻auf Kenntnis der Art und des Grunds der Verarbeitung ▻auf Kenntnis und Zustimmung der Weitergabe ihrer Daten ▻auf Widerruf der Verarbeitung / Weitergabe ▻auf Löschung ▻auf Auskunft 6
  7. 7. Was für uns wichtig ist ▰Auskunfts-/Löschrecht ▰Datenminimierung ▻nur die Daten erheben, die zum Zweck nötig sind ▰ Zweckbindung ▻die Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden ▰Kopplungsverbot: Kein Download gegen Newsletter-Abo 7
  8. 8. 8 Berechtigtes Interesse kann Verarbeitung begründen
  9. 9. Worum geht es heute konkret? 9
  10. 10. Worum geht es heute nicht? 10 ▰ Auftragsverarbeitungsverträge ▻Müssen mit jedem Anbieter abgeschlossen werden ▰ Verschlüsselung der Webseite ▻Seiten, die schützenswerte Daten verarbeiten, müssen verschlüsselt sein ▻Kontaktformular, Registrierungsfunktion, … - im Zweifel: Kommentarfunktion
  11. 11. WordPress selbst ist selten das Datenschutz-Problem Statistiken Themes Plugins 11 Embeds
  12. 12. Darf ich vorstellen? WordPress? Das ist DSGVO! DSGVO? Das ist WordPress! Ach, ihr kennt euch…?
  13. 13. WordPress unterstützt beim Datenschutz 13 ▰ Eigener Datenschutz-Bereich ▻ Werkzeuge zum Verwalten von Datenauskunft-Anfragen ▻Werkzeuge zum Löschen von personenbezogenen Daten
  14. 14. 14
  15. 15. 15
  16. 16. 16
  17. 17. 17 Bestätigung der Anfrage Information an Admin, wenn bestätigt Download für Benutzer
  18. 18. 18
  19. 19. Lösung 20 ▰ Emojis nicht einbinden ▻Plugin Disable Emojis (GDPR friendly) ▻Browser mit Emoji-Support zeigen Emojis dennoch an: http://caniemoji.com/
  20. 20. Kommentare 21 ▰ IP-Adressen in Kommentaren werden gespeichert ▻Temporär: Berechtigtes Interesse (AntiSpam) ▻Lösung: Remove Comment IPs ▰ AntiSpam-Lösung sollte keine Daten zur Validierung senden ▻Das macht Akismet ▻Lösung: AntispamBee ▰ Einverständnis zu Speicherung von Daten sollte vorliegen ▻Lösung: WP Comment Policy Checkbox
  21. 21. Kein WordPress ohne Funktionserweiterungen Keine Funktionserweiterung ohne DSGVO
  22. 22. Du willst Jetpack nicht nutzen!
  23. 23. Jetpack 24 ▰ Diverse Funktionen, gebündelt in einem Plugin ▻Besser Funktionen trennen ▰ Nimmt Kontakt mit Automattic auf ▰ Sendet div. personenbezogene Daten
  24. 24. Wie ermittele ich externe Aufrufe? Demo-Time! 25
  25. 25. Externe Quellen vermeiden 26
  26. 26. Statistiken (Google, Matomo, …) ▰ Identifikation einer Session anhand IP- Adresse ▻Verlauf des Browsens ▻Cookies ▰ Vorkehrungen ▻IP-Adresse nicht vollständig erfassen ▻OptIn / Blockmöglichkeit anbieten ▻Datenspeicherungsdauer berücksichtigen ▻Ggf. AV-Vertrag 27
  27. 27. Möglichkeiten 28 ▰ Datensparsames Plugin (Statify) ▻Erfasst PageViews, keine Sessions (somit keine IPs) ▰ Eigenes Analyse-Tool ▻Zwar umfangreiches Tracking, aber immerhin auf eigenem Server ▰ Weiter extern analysieren lassen ▻Aufwand zur korrekten Nutzung
  28. 28. Externe Fonts (Google Fonts, Adobe Typekit, FontAwesome,…) ▰ Anforderung externer Ressourcen überträgt IP-Adressen ▻Denke an jQuery, CookieConsent, … ▰ Vorkehrungen ▻AV-Vertrag 30
  29. 29. Möglichkeiten 32 ▰ Plugins ▻Google Fonts: Selfhost Google Fonts ▻Lädt Fonts runter und liefert sie lokal aus ▰ Ressourcen selbst anbieten ▻Google Fonts: Google Webfonts Helper ▻Erfordert Eingriff in Code (Child Theme)
  30. 30. Social Buttons (Facebook Like, Twitter Tweet This, Google +1, …) ▰ Anforderung externer Ressourcen überträgt IP-Adressen ▻Weitere Trackings wahrscheinlich ▰ Vorkehrungen ▻Hinweis in Datenschutzerklärung ▻OptIn / Blockmöglichkeit anbieten ▻AV-Vertrag 33
  31. 31. Möglichkeiten 34 ▰ Einsatz von 2-Klick-Lösungen ▻Inhalte werden erst geladen, wenn man Buttons anklickt ▰ Shariff Wrapper
  32. 32. Embed (YouTube, Vimeo, …) 35 ▰ Eingebundene Videos, Posts, … übertragen IP-Adresse ▻Wenn User bei Dienst eingeloggt ist, ist Tracking nicht ausgeschlossen
  33. 33. Möglichkeiten 36 ▰ YouTube / Vimeo: Lazy Load for Videos ▰ YouTube: WP YouTube Lyte ▰ YouTube: „Erweiterten Datenschutzmodus“ nutzen ▰ Link nach extern setzen ▻Insbesondere für weitere Embeds wie Facebook, Twitter, …
  34. 34. Weitere Themen 37 ▰ Kontaktformulare sollen erst nach Bestätigung abzusenden sein ▻ContactForm7 bietet bereits Feld „Acceptance Checkbox“ ▰ Newsletter benötigen DoubleOptIn ▰ Datenschutzerklärung muss von jeder Seite aufrufbar sein
  35. 35. Tiefe Verneigung vor Finn Hillebrandt 38 ▰ 200+ WordPress-Plugins im DSGVO-Check (blogmojo.de)
  36. 36. Alles zusammengefasst 39 bit.ly/2xfKzhc
  37. 37. 40 Danke euch! Ihr findet mich unter @JustPhilMarx / webfalken.de phil.marx@gmail.com Thanks to - SlidesCarnival for Slides template and Icons (CC BY 4.0)

Editor's Notes

  • Emojis / Preloads
    Einschränkung: Gravatare
    Cookies werden nur nach Login gesetzt
    Kein Kontaktformular
    -
  • Bereich zeigen
    Aufzeigen von Benutzer-Export
  • Honeypots
    Lokale Spamdatenbank wird mit einbezogen
    IP-Adressinformationen auf Validität prüfen

×