Wer noch einen klassischen Blog mit WordPress betreibt, verzeichnet sicher eine rege Kommentartätigkeit. Kommentare sind auf solchen Webblogs das Salz in der Suppe. Neben vielen anderen kritischen Punkten kann der Umgang mit gespeicherten Kommentaren aus datenschutzrechtlicher Sicht abmahnfähig sein. Und das hängt mit den IP-Adressen zusammen, die WordPress zu jedem Kommentar abspeichert.
Die IP Adresse ist in den Regionen unserer Rechtssprechung als „persönliches Datum“ anerkannt – ob uns das sinnvoll und nachvollziehbar erscheint oder nicht.
Es gibt sicherlich gute Gründe, weshalb WordPress zu den Kommentaren auch immer die IP Adresse speichert, aber nach dem Datenminimierungsgrundsatz der DSGVO soll das nicht sein. Es dürfen nur die Daten erhoben und verarbeitet werden, die für das Funktionieren der Webseite oder die Kommunikation zwischen Webseitenbesucher und -betreiber unbedingt erforderlich sind.
Um nicht in Konflikt mit der DSGVO zu geraten, solltet ihr alle bisher gespeicherten IP Adressen der Kommentare löschen und die zukünftige Speicherung unterbinden.
Ich zeige euch hier in 2 Schritten, wie ihr diese Aufgabe löst.
1. IP Adressen in der Kommentar-Tabelle löschen
Am einfachsten wird das direkt auf der Datenbank-Ebene gelöst. Auf den Webhostern ist sehr oft phpmyadmin als Datenbankverwaltung installiert. Falls ihr euch unsicher seid, fragt den Support eures Webhosters.
Die zuständige Tabelle trägt die Bezeichnung wp_comments. Das wp_ Präfix kann aber auch anders lauten. Das müsst ihr herausfinden, denn davon hängt der genaue Wortlaut des SQL-Befehls ab. Im Ausführungsfenster SQL gebt ihr diesen, auf ihre Bedürfnisse angepassten, SQL-Befehl ein – wobei ihr unter Umständen wp_ mit eurem individuellen Tabellen-Präfix ersetzen müsst:
UPDATE wp_comments SET comment_author_IP = '';
Wird dieser SQL-Befehl erfolgreich ausgeführt, müssten nun alle bisher gespeicherten IP Adressen gelöscht sein. Schritt 1 ist damit erledigt.
Keine IP Adressen von Kommentatoren mehr speichern
In Schritt 2 müsst ihr noch dafür sorgen, dass WordPress auch in Zukunft keine IP Adressen bei Kommentaren mehr speichert. Wie so oft gibt es auch hierfür ein Code-Snippet. Das fügt ihr entweder in die Datei functions.php eures aktiven Themes ein (Achtung, mit Child Theme arbeiten!) oder ihr benutzt das Code Snippets Plugin, wie ich das seit langem tue.
function wpb_remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );
Wenn dieses Snippet aktiv ist, dürften bei neuen Kommentaren keine IP Adressen mehr in der Tabelle wp_comments abgespeichert werden. Das WordPress-Verhalten in diesem Punkt dürfte damit datenschutzkonform sein.
Allerdings könnte sich heraus aber auch ein neues Problem ergeben. Sollte der Kommentar inhaltlich rechtswidrig sein oder der Kommentator möchte den Kommentar berichtigen oder ganz löschen lassen (was sein gutes Recht ist), lässt sich durch die fehlende IP Adresse möglicherweise die Zuordnung zwischen Kommentar und Besucher nicht mehr nachvollziehen. Hier müsste man dann über die Log-Files des Webservers recherchieren, wer zum fraglichen Zeitpunkt Zugriff auf die entsprechende URL des Beitrags hatte. Es empfiehlt sich daher, die Zugriffsdaten in den Log-Files etwas länger aufzubewahren.
In all diesen Fragen habe ich immer das Gefühl, die DSGVO und die Realität vertragen sich nicht wirklich, aber andereseits hat auch niemand behauptet, dass alle Datenschutzregelungen und -Interpretationen in der DSGVO sinnvoll sind.