Das Speichern der IP eines kommentierenden Nutzers auf deiner Website ist im Rahmen der DSGVO nicht mehr erlaubt. Auch schon vor dem Inkrafttreten der neuen Datenschutz-Grundverordnung war das Speichern nicht erlaubt.

Damit du diesen Teil der Erfüllung deiner Pflichten im Namen des Datenschutzes ohne großen Aufwand und ohne lange Zeitinvestition schnell abhaken kannst, zeige ich dir in diesem Artikel:

  • Zwei Wege, die Speicherung der IP Adresse deiner Kommentatoren zu verhindern
  • wie du bereits gespeicherte IP Adressen nachträglich löschen kannst

(Natürlich ist das keine Rechtsberatung da ich hierzu weder berechtigt noch in der Lage bin. Alle Informationen sind von mir recherchiert und beinhalten meine persönlichen Empfehlungen.)


Das hier ist der erste Teil meiner Artikelreihe zu WordPress und der DSGVO. Bestimmt interessieren dich auch die anderen Artikel dazu:

So entfernst du die IP Adresse bei WordPress Kommentaren
So baust du ein Google Analytics Opt-Out ein
Wie du in WordPress Google Fonts DSGVO konform einbaust
Spam-Kommentare DSGVO konform herausfiltern

Wieso du die IP Adressen entfernen musst

Zunächst eine grobe Erklärung, was das eigentlich ist:

Die IP Adresse ist eine Adresse, die jedem an das Internet angebundenen Gerät zugewiesen wird. Sie gehört zu den personenbezogenen Daten, da mit ihrer Hilfe ein Gerät identifiziert werden kann. Alle Infos zur IP Adresse findest du auf Wikipedia.

WordPress speichert bei jedem Kommentar die IP Adresse des Kommentierenden zusammen mit der E-Mail Adresse und dem angegebenen Namen. Die Speicherung der beiden letzteren Daten ist wohl in Ordnung, da im Zweifelsfall die Interessen des Websitebetreibers gegen die betroffenen Grundrechten des Nutzers abgewogen werden müssen.

IP Adressen bei Kommentaren in WordPress

WordPress speichert bei jedem Kommentar die IP des kommentierenden Nutzers.

Das Speichern von IP Adressen ist allerdings lediglich zulässig, wenn es für die generelle Funktionsfähigkeit eines Dienstes notwendig ist. Im Falle einer Kommentarfunktion ist die IP Adresse nicht nötig, um die Funktionsfähigkeit zu gewährleisten.

Darum musst du also nicht nur dafür sorgen, dass bei zukünftigen Kommentaren die IP Adresse nicht mehr gespeichert wird, sondern auch dass bisher gespeicherte IPs gelöscht sind.

Was du aber wissen musst ist, dass durch das Entfernen der IP Adressen gängige Anti-Spam Plugins nicht mehr zu 100% funktionieren. Zudem kümmert sich das WordPress Team wohl um eine Anpassung des WordPress Cores an die DSGVO, somit sollte Ende Mai auch von Haus aus eine Lösung für die Speicherung der IP Adressen integriert sein.

So löschst du bisher gespeicherte IP Adressen

Wie fast alle anderen Inhalte und Daten, werden auch die IP Adressen der kommentierenden Nutzer in der Datenbank gespeichert, welche mit WordPress verbunden ist. Um die gespeicherten IPs zu löschen, musst du dich also über phpMyAdmin in deine Datenbank einloggen und dort die entsprechenden Daten löschen.

Keine Sorge, das ist einfacher als es klingt.

Als erstes legst du ein Backup deiner Datenbank an. Logge dich anschließend bei deinem Hoster ein und logge dich mit dem Tool phpMyAdmin (wird von den meisten Hostern genutzt) in deiner Datenbank ein. Je nach Hoster gibt es hierfür einen eigenen Menüpunkt namens „phpMyAdmin“, oder du kommst über die Datenbankübersicht zur Verwaltung dieser Datenbank.

Wenn du die richtige Datenbank (und bei mehreren WordPress Installationen innerhalb der gleichen Datenbank auch die richtige Tabelle) ausgewählt hast, findest du die Kommentare und IP Adressen in der Spalte „comment_author_IP“ der Tabelle „wp_comments“.
(Wenn du einen anderen Präfix eingestellt hast, ist dieser entsprechend anders als „wp_“).

Screenshot der wp_comments Tabelle

So sieht die wp_comments Tabelle aus, mit einer Sammlung sämtlicher IP Adressen.

Jetzt hast du die IP Adressen gefunden und musst sie nur noch löschen. Das könntest du natürlich händisch machen, indem du die Tabellenspalten bearbeitest und die Adressen löschst, das macht aber nur bei sehr wenigen Kommentaren Sinn. Hast du schon einen Haufen Kommentare, dann kannst du diesen Prozess mit einem Befehl automatisieren.

Wähle nun oben in phpMyAdmin den Reiter „SQL“ aus. Hier kannst du nun den folgenden Befehl eingeben (bei einem anderen Präfix musst du das „wp_“ anpassen):

UPDATE wp_comments SET comment_author_IP = ' ';

Nach dem Absenden solltest du nun eine grün umrandete Erfolgsmeldung bekommen, die so aussieht:

SQL Befehlt zum Löschen der IP Adressen

Gib unter „SQL“ den Befehl zum Löschen ein und du bekommst die grün umrandete Erfolgsmeldung.

Diese Meldung bedeutet nun also, dass die IP Adressen aus deiner Datenbank gelöscht wurden und nun so aussieht:

wp_comments Tabelle ohne IP Adressen

Jetzt sind keine IP Adressen der kommentierenden Nutzer mehr gespeichert.

So, alle gespeicherten IP Adressen der bisherigen Kommentare sind nun gelöscht und somit hast du Schritt eins geschafft!

Jetzt muss nur noch das zukünftige Speichern verhindert werden.

Speichern der IP Adresse in zukünftigen Kommentaren verhindern

Um in der Zukunft die IP Adressen nicht zu speichern, kannst du zwei Wege gehen. Entweder fügst du einen kurzen Codeschnipsel in die functions.php Datei ein, oder du installierst dir ein Plugin.

Ich bevorzuge, wie fast immer, das manuelle Einfügen des Codes. Genau darum starte ich auch mit der Anleitung hierfür.

Einfügen eines Codes in die functions.php

Navigiere in deinem FTP Programm zu dem aktiven Child-Theme (wp-content -> themes -> deinChildTheme). Öffne die darin enthaltene functions.php Datei und füge den folgenden Code ein:

function  wpb_remove_commentsip( $comment_author_ip ) {
	return '';
	}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Es ist sehr wichtig, dass dieser Code in der functions.php Datei deines Child Themes landet, ansonsten wird er beim nächsten Update deines Themes überschrieben!

Nutzung eines Plugins

Wie immer gibt es auch für diesen Zweck ein Plugin. Mit Remove IP wird die IP Adresse des kommentierenden Nutzers ganz einfach durch 127.0.0.1 ersetzt, was eine typische localhost IP Adresse ist, die nicht personenbezogen ist.

Das Plugin entfernt allerdings nur die IP Adressen zukünftiger Kommentare und wirkt nicht rückwirkend!

Ja, das Plugin wurde lange Zeit nicht aktualisiert. Da es aber fast nichts anderes tut als der Code, den du in die functions.php einfügen kannst, gibt es hier auch nichts zu aktualisieren.

 

Welche Variante nutzt du zur Entfernung der IP Adresse? Das Plugin oder den Code?


Vorheriger Artikel dieser Serie

Das ist der erste Teil. Zur Übersichtsseite

Nächster Artikel dieser Serie

So baust du ein Google Analytics Opt-Out ein

 

Teilen macht Freude!

  • stk

    Aber bitte nicht wundern, wenn nach Verändern der IP Adresse danach die einschlägigen Spam-Blocker nicht mehr funktionieren. Wer sich den Aufwand ersparen mag: die WordPress Community arbeitet bereits heftig an GPDR (oder auf gut deutsch DSGVO) konformen Veränderungen am Code. Im Idealfall heisst es am 25.5. also: entspannt zurücklehnen. Zumindest was den WordPress Core angeht. Eine komplett andere Veranstaltung sind installierte PlugIns, die weitere personenbezogene Daten erheben – Kontaktformulare, Shops, Foren, Ticketsysteme, …

    • Jonas Tietgen

      Moin,

      die meisten Spam-Blocker prüfen ja nicht nur über die IP sondern auch über Triggerwords.
      Ich bin auf jeden Fall schon gespannt auf die kommenden Änderungen bzgl DSGVO von Seiten der WP Community, aber ich verlasse mich erst einmal nicht darauf 😉

      Grüße
      Jonas

  • Conny

    Hallo Jonas

    Besten Dank für die ausführliche Anleitung, ohne die ich mich nicht getraut habe.
    Jetzt hab ich das erste Mal in der Datenbank gearbeitet und es hat alles funktioniert. *schwitz*

    Grüsse, Conny

    • Jonas Tietgen

      Moin Conny,

      sehr gut, freut mich dass nichts schief gegangen ist 🙂

      Grüße
      Jonas

  • Roswitha Uhde

    Sehr gute Anleitung, Jonas. Ich selbst schiebe diese Sache zwar noch vor mir her und hoffe auf eine Lösung durch WP, aber ich verlinke deine Seite gern in meinem Blog zur DSGVO.
    Viele Grüße aus Berlin, Roswitha

    • Jonas Tietgen

      Moin Roswitha,

      das hoffe ich auch, aber man weiß noch nicht, in welchem Umfang sie kommt und ich persönlich kümmere mich gerne selber um die Dinge, die ich beeinflussen kann 🙂

      Grüße
      Jonas

  • Conny

    Hallo Jonas,
    eine Sache verstehe ich nicht ganz – und zwar das mit dem ChildTheme. Ich persönlich habe doch nur das eine Theme…

    Viele Grüße, Conny

    • Jonas Tietgen

      Moin Conny,

      dann musst du entweder ein Child-Theme erstellen oder das Plugin nutzen. Ein Child-Theme ist im Prinzip eine leere Hülle, die alle Inhalte deines eigentlichen Themes übernimmt, aber eigene Anpassungen zulässt.

      Grüße
      Jonas

  • Nähkäschtle

    Danke für die Anleitung – ich habe Remove IP installiert gehabt und werde mich jetzt am Löschen der alten IP-Adressen versuchen … mit etwas Panik was kaputt zu machen … Viele Grüße Ingrid

  • Marco

    Ich danke dir erst einmal für deine ausführlichen Artikel. Sehr hilfreich.
    Ich tue mich aber noch etwas schwer einfach die IPs aus meinen Kommentaren zu löschen. Irgendwie haben wir doch auch eine Nachweispflicht in rechtlicher Hinsicht. Soll heißen, dass wenn jemand eine Straftat (Hasskommentare oder Schlimmeres) postet, dann sind wir doch verpflichtet das zur Anzeige zu bringen. Und dann wird doch sicherlich eine Dokumentation des Vorfalls von uns erwartet oder?

    Lg
    Marco

    • Jonas Tietgen

      Moin Marco,

      soweit ich weiß, darf unter gewissen Voraussetzungen die IP Adresse für 3 Wochen oder sowas in der Art gespeichert werden.
      Bzgl. der Hasskommentare: Wenn du die Kommentare moderierst, wird so einer ja nicht öffentlich erscheinen. Klar, die Straftat liegt trotzdem vor…

      Grüße
      Jonas

      • Marco

        Danke für deine Antwort. Das ist echt alles nervig. Keiner weiß was und ich bezweifle mal, dass Anwälte mehr wissen, selbst wenn sie vom Fach sind.

        Ich habe noch folgendes Plugin gefunden. Das finde ich nicht ganz uninteressant und probiere es mal aus: https://de.wordpress.org/plugins/remove-comment-ips/

        Es löscht die IPs nach 6 Wochen und die der alten Kommentare sofort. Ist mir sympatischer als die „Hau-mit-dem-Hammer-drauf-Methode“

  • Micha

    Darf man die IP Adresse generell nicht speichern? Habe jetzt mehrfach gesehen da es folg. gelöst wurde. Unter dem Kommentarfeld ist eine weitere Checkbox mit folg. Text.
    „Durch Abhaken dieser Checkbox erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden. Um die Übersicht über Kommentare zu behalten und Missbrauch zu verhindern, speichert diese Website Name, E-Mail, Kommentartext sowie IP-Adresse und Zeitstempel deines Kommentars. Detaillierte Informationen dazu findest du in meiner Datenschutzerklärung. *“
    Dazu steht dann in der Datenschutzerklärung folg.
    „Wenn Nutzer Kommentare im Blog oder sonstige Beiträge hinterlassen, werden ihre IP-Adressen gespeichert. Das erfolgt zur Sicherheit des Anbieters, falls jemand in Kommentaren und Beiträgen widerrechtliche Inhalte schreibt (Beleidigungen, verbotene politische Propaganda etc.). In diesem Fall kann der Anbieter selbst für den Kommentar oder Beitrag belangt werden und ist daher an der Identität des Verfassers interessiert.“
    Darf man die jetzt speichern oder nicht? Habe auch wp-members im Einsatz. Bei jeder neuen Registrierung wird auch die IP mitgespeichert. Ist das OK?

    • Jonas Tietgen

      Moin Micha,

      da ich kein Anwalt bin, kann ich dir hierzu keine rechtssichere Auskunft geben.
      Wenn du diesen Hinweis einbaust und als Pflichtfeld deklarierst, schätze ich, sollte das in Ordnung gehen.

      Bzg. wp-members: Nunja, die IP Adresse ist ja nicht wirklich zur Bereitstellung des Services durch dich nötig oder? Dadurch schätze ich mal, wird das ein Problem darstellen.

      Grüße
      Jonas

  • Karin Mager

    Hallo Jonas,
    ich habe es das erste Mal gewagt, in meiner Datenbank zu arbeiten. Dank deiner Anleitung ist alles gut gegangen. Bloß an einer Stelle kam ich nicht weiter. Du schreibst: „Gib unter „SQL“ den Befehl zum Löschen ein und du bekommst die grün umrandete Erfolgsmeldung.“ – Meine Datenbank sah irgendwie anders aus. Deshalb habe ich statt der Verwendung des Befehls doch lieber die IP-Adressen händisch gelöscht.
    Nach diesem Erfolgserlebnis habe ich mich dann auch noch an die functions.php meines Child-Themes gemacht und den vorgeschlagenen Befehl eingetragen. Hoffe sehr, dass ich damit schon mal dieses Kapitel auf dem Weg zur Datenschutz-konformen Website erledigt habe.
    Ich danke dir sehr für deine gut verständlichen Anleitungen und lese immer mit großem Interesse deinen Newsletter.

  • Jana

    Danke für die verständliche Anleitung! Leider hat mein Child Theme nur eine style.css und nicht die functions.php, die musste ich also im eigentlichen Theme ändern, was aber wunderbar funktioniert hat. Mal sehen, wie es nach dem Theme Update aussieht. Ansonsten muss ich IPs zukünftig doch über die Datenbank löschen.
    Gruß, Jana

    • Jonas Tietgen

      Moin Jana,

      wenn dein Child Theme keine functions.php Datei hat, kannst du diese einfach anlegen, dann ist dein Code updatesicher 😉

      Grüße
      Jonas

PDF: WordPress Plugins & die DSGVO  80+ Plugins analysiert

angle-double-right
angle-double-left