Den 25.05.2018 trädde EUPUL i kraft. Vi erbjuder dig en översikt över de tekniska försiktighetsåtgärder som vi anser vara viktiga mot bakgrund av PUL för att driva din WordPress-webbplats på ett rättssäkert sätt.
Ansvarsfriskrivning
Vårt blogginlägg är inte juridisk rådgivning! Som en del av vårt arbete som WordPress -Hoster har vi arbetat mycket intensivt med de tillämpliga tyska dataskyddsbestämmelserna och EUPUL . Vi är dock varken advokater eller dataskyddsexperter. Vi tar inget ansvar för fullständigheten, aktualiteten och riktigheten av de åtgärder och innehåll som tillhandahålls av oss.
PULTa bort skadliga WordPress-plugins och ersätt dem med PUL-kompatibla alternativ.
Om plug-ins måste upprätta en giltig anslutning till en annan webbplats och vidarebefordra data som IP-adressen blir det problematiskt. Sådana plugins bör definitivt ersättas med ett EU-PUL-kompatibelt alternativ - åtminstone tills tillverkarna publicerar en juridiskt kompatibel version av sina plugins.
samla in anonym besöksstatistik
Naturligtvis skulle vi också vilja veta vad som fungerar särskilt bra på vår webbplats, vad människor gillar att läsa eller dela, hur länge besökare stannar på en sida eller hur hög avvisningsfrekvensen är. Med EU-förordningenPUL har den rättsliga situationen stramats åt något. Som redan var fallet enligt den tidigare tyska dataskyddsförordningen måste du fullständigt anonymisera varje besökare på din webbplats. Inga personuppgifter får dock överföras till andra tjänster.
Därför rekommenderar vi Statify, så att alla anonymiserade personuppgifter stannar kvar på din webbplats och inte vidarebefordras till andra tjänster.
Enligt informationen om plugin-programmet behandlar, skickar eller lagrar plugin-programmet inga personuppgifter, t.ex. cookies eller IP-adresser utanför din webbplats.
Använd juridiska avatarer för bloggar och kommentarer
- Avatar Privacy möjliggör PUL-kompatibel användning av WordPress Gravatar-funktionen
Avatar Privacy av Peter Putzer erbjuder följande funktioner för implementering av PUL : Å ena sidan publiceras inte hash av e-postadresser om det inte finns något Gravatar-konto för det. För det andra erbjuder det en opt-in eller opt-out för visning av Gravatar i kommentarer och i användarprofilen. Dessutom ger pluginet nya standardavatarer som laddas från den lokala servern i stället för från gravatar.com-servrarna i USA.
Ett alternativ är att helt avaktivera gravatarerna på din egen webbplats:
- WP User Avatar istället för Gravatar
För att helt avaktivera Gravatar i WordPress måste du dock göra följande inställningar i WordPress adminområde under menyalternativet "Inställningar": Bläddra ner i undermenyn under Diskussioner tills du når avsnittet Avatarer. Avaktivera sedan kryssrutan: "Avatarvisning - Visa avatarer". Klicka på Spara för att tillämpa inställningarna och radera cacheminnet på din webbplats. Nu bör din webbplats inte längre kommunicera med wordpress.com .
Double opt-in-förfarande för kommentarer
Här bör det sägas i förväg att meddelandet om ytterligare kommentarer till ens egen kommentar redan förutsätter att data kommer att vidarebefordras. Om du vill utesluta en negativ tolkning av denna "gråzon" kan du använda det kostnadsfria pluginet Subscribe to Double-Opt-In Comments. På så sätt måste besökaren i förväg aktivt bekräfta att han eller hon verkligen vill få meddelanden om ytterligare kommentarer.
Begränsa antispamskyddet till din egen webbplats
Här kan till exempel Antispam Bee eller Akismet användas. Antispam Bee kan användas i enlighet med PUL om du följer följande plugin-inställningar: Funktionen "Consider public spam database" måste avaktiveras för att förhindra att dina besökares IP-adresser överförs till Stop Forum Spam-tjänsten. Språkfiltret, som använder Google API, är inte problematiskt när det gäller dataskydd, i motsats till vad många människor antar:
Om talfiltret har aktiverats skickas de första tio orden i varje kommentar till Googles tjänst för taligenkänning. Tre ord av kommentarens innehåll. Inte e-postadressen, inte namnet på den person som kommenterar, inte IP-adressen. Slutsats: inga personuppgifter och därför inga problem. - Simon Kraft, medlem i Pluginkollektivet
Ersätt WordPress backup plugins med alternativa lösningar om det behövs
För att motverka överföringen av personuppgifter till amerikanska servrar och som en positiv sidoeffekt frigöra ytterligare prestandakapacitet på din webbplats bör du överväga att inte använda speciella WordPress-backup-plugins. Det finns också alternativ till ett WordPress Backup Plugin som du kan överväga.
Använd cachning på webbservern istället för cachningsplugin för WordPress
Många cachningsplugins gör ett bra jobb med att cacha din webbplats. Cachning gör att webbplatsen kan levereras snabbare. Men cachning innebär också att man förlorar kontrollen över data.
Ett lagligt alternativ, som också säkerställer att de prestandakrävande plugin-programmen försvinner, är att använda cacheminnet på serversidan.
Fördelen: Uppgifterna lagras redan när de levereras och finns, åtminstone på Raidboxes , endast på tyska servrar med garanterad ISO 27001-certifiering.
Förhindra problematiska sociala plugins
Share-tjänster använder ofta redan data så snart dina besökare är på webbplatsen med ett aktivt socialt plugin. Även om ingenting har delats ännu, skickas data redan vidare. Detta är avgörande för PUL .
Plugins för kontaktformulär
Enligt den allmänna dataskyddsförordningen krävs avsändarens samtycke för att skicka ett formulär. Data omfattar inte bara den personliga IP-adressen, utan även e-postadressen och själva innehållet. En opt-in för samtycke till datalagring kan implementeras via en extra Acceptance Checkbox i Contact Form 7 och i Gravity Forms, till exempel med det kostnadsfria pluginet WP GDPR Compliance. Numera bör dock alla plugins av denna typ ha implementerat kraven på PUL .
Nyhetsbrev & E-postmarknadsföring
I dina nyhetsbrevformulär bör endast e-postadressen vara ett obligatoriskt fält, alla andra uppgifter som för- och efternamn bör endast begäras som ett alternativ. Som med alla formulär gäller double opt-in-förfarandet även för nyhetsbrevsformuläret, liksom största möjliga öppenhet i informationen om vad du exakt tänker göra eller erbjuda med nyhetsbrevet.
Om du ännu inte har gjort det, använd då alltid double opt-in-förfarandet! Med dubbel opt-in måste e-postmottagaren uttryckligen klicka på länken i ett bekräftelsemeddelande en andra gång efter den första registreringen för att inkluderas i distributionslistan. Detta säkerställer att ingen registrerar sig för ett nyhetsbrev i ditt namn och att den faktiska registreringen också önskas av dig.
Tekniska åtgärder utanför dina WordPress-plugins
SSL-kryptering
SSL-kryptering är inte obligatoriskt i PUL, men utan en SSL-anslutning är säker dataöverföring runt din webbplats inte möjlig. Du kan också lära dig mer om SSL i vårt omfattande Let's Encrypt SSL-kompendium.
Du vill inte konfigurera SSL-certifikatet själv? Använd då SSL-certifikat från till exempel Let's Encrypt, som du snabbt och enkelt kan aktivera gratis för din WordPress-webbplats med en installation med ett klick.
Skapa Google Analytics Opt-Out
I detta sammanhang bör det än en gång påpekas att fullständig anonymisering av besökare är obligatorisk. För att säkerställa detta måste det ofta använda Google Analytics utökas med följande kodrad:
ga('set', 'anonymizeIp', true);Om din Javascript Snippet såg ut så här i förväg:
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('send', 'pageview');
</script>efter att ha lagt till den ser koden ut så här:
<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','https://www.google-analytics.com/analytics.js','ga');
ga('create', 'UA-XXXXXXXX-X', 'auto');
ga('require', 'displayfeatures');
ga('require', 'linkid', 'linkid.js');
ga('set', 'anonymizeIp', true);
ga('send', 'pageview');
</script>Dessutom måste du skapa ett alternativ i din sekretesspolicy som gör det möjligt för besökare på din webbplats att helt välja bort Google Analytics. Du kan hitta ett gratis opt-out-plugin för Google Analytics som heter Google Analytics Opt-Out i WordPress plugin-katalog. Detta installerar en cookie som förhindrar analytics.js från att samla in data.
Anonymiserade IP-adresser i bloggkommentarer
WordPress lagrar som standard IP-adresserna för kommentarsskribenter. Enligt EUPUL är dock insamlingen av IP-adresser inte förenlig med dataskyddsbestämmelserna. Du kan förhindra framtida lagring av IP-adresser med hjälp av en liten PHP-kod i din functions.php. Vi rekommenderar att du använder ett barntema för detta så att koden fortfarande är integrerad efter nästa uppdatering av ditt tema. Koden som ska infogas är:
function wpb_remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );Slutligen måste du manuellt radera befintliga IP-adresser i databasen på din webbplats en gång. Bra instruktioner om hur du gör detta hittar du här.
