Das Speichern der IP eines kommentierenden Nutzers auf deiner Website ist im Rahmen der DSGVO nicht mehr erlaubt. Auch schon vor dem Inkrafttreten der neuen Datenschutz-Grundverordnung war das Speichern nicht erlaubt.
Damit du diesen Teil der Erfüllung deiner Pflichten im Namen des Datenschutzes ohne großen Aufwand und ohne lange Zeitinvestition schnell abhaken kannst, zeige ich dir in diesem Artikel:
- Zwei Wege, die Speicherung der IP Adresse deiner Kommentatoren zu verhindern
- wie du bereits gespeicherte IP Adressen nachträglich löschen kannst
(Natürlich ist das keine Rechtsberatung da ich hierzu weder berechtigt noch in der Lage bin. Alle Informationen sind von mir recherchiert und beinhalten meine persönlichen Empfehlungen.)
Das hier ist der erste Teil meiner Artikelreihe zu WordPress und der DSGVO. Bestimmt interessieren dich auch die anderen Artikel dazu:
So entfernst du die IP Adresse bei WordPress Kommentaren
Wie du Google Analytics mit WordPress verbindest [DSGVO konform]
So fügst du den Facebook Pixel in WordPress ein [DSGVO konform]
Real Cookie Banner – das beste WordPress Cookie Plugin
Wie du in WordPress Google Fonts DSGVO konform einbaust
Spam-Kommentare DSGVO konform herausfiltern
Wieso du die IP Adressen entfernen musst
Zunächst eine grobe Erklärung, was das eigentlich ist:
Die IP Adresse ist eine Adresse, die jedem an das Internet angebundenen Gerät zugewiesen wird. Sie gehört zu den personenbezogenen Daten, da mit ihrer Hilfe ein Gerät identifiziert werden kann. Alle Infos zur IP Adresse findest du auf Wikipedia.
WordPress speichert bei jedem Kommentar die IP Adresse des Kommentierenden zusammen mit der E-Mail Adresse und dem angegebenen Namen. Die Speicherung der beiden letzteren Daten ist wohl in Ordnung, da im Zweifelsfall die Interessen des Websitebetreibers gegen die betroffenen Grundrechten des Nutzers abgewogen werden müssen.
Das Speichern von IP Adressen ist allerdings lediglich zulässig, wenn es für die generelle Funktionsfähigkeit eines Dienstes notwendig ist. Im Falle einer Kommentarfunktion ist die IP Adresse nicht nötig, um die Funktionsfähigkeit zu gewährleisten.
Darum musst du also nicht nur dafür sorgen, dass bei zukünftigen Kommentaren die IP Adresse nicht mehr gespeichert wird, sondern auch dass bisher gespeicherte IPs gelöscht sind.
Was du aber wissen musst ist, dass durch das Entfernen der IP Adressen gängige Anti-Spam Plugins nicht mehr zu 100% funktionieren. Zudem kümmert sich das WordPress Team wohl um eine Anpassung des WordPress Cores an die DSGVO, somit sollte Ende Mai auch von Haus aus eine Lösung für die Speicherung der IP Adressen integriert sein.
So löschst du bisher gespeicherte IP Adressen
Wie fast alle anderen Inhalte und Daten, werden auch die IP Adressen der kommentierenden Nutzer in der Datenbank gespeichert, welche mit WordPress verbunden ist. Um die gespeicherten IPs zu löschen, musst du dich also über phpMyAdmin in deine Datenbank einloggen und dort die entsprechenden Daten löschen.
Keine Sorge, das ist einfacher als es klingt.
Als erstes legst du ein Backup deiner Datenbank an. Logge dich anschließend bei deinem Hoster ein und logge dich mit dem Tool phpMyAdmin (wird von den meisten Hostern genutzt) in deiner Datenbank ein. Je nach Hoster gibt es hierfür einen eigenen Menüpunkt namens „phpMyAdmin“, oder du kommst über die Datenbankübersicht zur Verwaltung dieser Datenbank.
Wenn du die richtige Datenbank (und bei mehreren WordPress Installationen innerhalb der gleichen Datenbank auch die richtige Tabelle) ausgewählt hast, findest du die Kommentare und IP Adressen in der Spalte „comment_author_IP“ der Tabelle „wp_comments“.
(Wenn du einen anderen Präfix eingestellt hast, ist dieser entsprechend anders als „wp_“).
Jetzt hast du die IP Adressen gefunden und musst sie nur noch löschen. Das könntest du natürlich händisch machen, indem du die Tabellenspalten bearbeitest und die Adressen löschst, das macht aber nur bei sehr wenigen Kommentaren Sinn. Hast du schon einen Haufen Kommentare, dann kannst du diesen Prozess mit einem Befehl automatisieren.
Wähle nun oben in phpMyAdmin den Reiter „SQL“ aus. Hier kannst du nun den folgenden Befehl eingeben (bei einem anderen Präfix musst du das „wp_“ anpassen):
UPDATE wp_comments SET comment_author_IP = ' ';
Nach dem Absenden solltest du nun eine grün umrandete Erfolgsmeldung bekommen, die so aussieht:
Diese Meldung bedeutet nun also, dass die IP Adressen aus deiner Datenbank gelöscht wurden und nun so aussieht:
So, alle gespeicherten IP Adressen der bisherigen Kommentare sind nun gelöscht und somit hast du Schritt eins geschafft!
Jetzt muss nur noch das zukünftige Speichern verhindert werden.
Speichern der IP Adresse in zukünftigen Kommentaren verhindern
Um in der Zukunft die IP Adressen nicht zu speichern, kannst du zwei Wege gehen. Entweder fügst du einen kurzen Codeschnipsel in die functions.php Datei ein, oder du installierst dir ein Plugin.
Ich bevorzuge, wie fast immer, das manuelle Einfügen des Codes. Genau darum starte ich auch mit der Anleitung hierfür.
Einfügen eines Codes in die functions.php
Navigiere in deinem FTP Programm zu dem aktiven Child-Theme (wp-content -> themes -> deinChildTheme). Öffne die darin enthaltene functions.php Datei und füge den folgenden Code ein:
function wpb_remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );
Es ist sehr wichtig, dass dieser Code in der functions.php Datei deines Child Themes landet, ansonsten wird er beim nächsten Update deines Themes überschrieben!
Nutzung eines Plugins
Wie immer gibt es auch für diesen Zweck ein Plugin. Mit Remove IP wird die IP Adresse des kommentierenden Nutzers ganz einfach durch 127.0.0.1 ersetzt, was eine typische localhost IP Adresse ist, die nicht personenbezogen ist.
Das Plugin entfernt allerdings nur die IP Adressen zukünftiger Kommentare und wirkt nicht rückwirkend!
Ja, das Plugin wurde lange Zeit nicht aktualisiert. Da es aber fast nichts anderes tut als der Code, den du in die functions.php einfügen kannst, gibt es hier auch nichts zu aktualisieren.
Die DSGVO nervt? Schlage (fast) alle Fliegen mit einer Klappe!
Hier Google Fonts, dort Google Analytics Tracking Opt-Out, ach und natürlich auch ein Opt-Out für den Facebook Pixel… Ganz ehrlich, die DSGVO kann richtig nerven…
Um gleich mehrere Fliegen mit einer Klappe zu schlagen, möchte ich dir meine DSGVO Plugins ans Herz legen und das Plugin Real Cookie Banner empfehlen. Ich nutze es selber auf allen Websites von mir und auch auf den Seiten meiner Kunden.
Das Plugin bietet dir die wichtigsten Möglichkeiten, und lässt dich ein funktionierendes Opt-In für Google Analytics, Facebook Pixel und alle weiteren Cookies & externen Verbindungen auf deiner Website einbauen. Und es hat sogar noch mehr zeitsparende Funktionen, um dir die Anpassung an die DSGVO zu vereinfachen!
Welche Variante nutzt du zur Entfernung der IP Adresse? Das Plugin oder den Code?
Nächster Artikel dieser Serie
Wie du Google Analytics mit WordPress verbindest (DSGVO konform)
Aber bitte nicht wundern, wenn nach Verändern der IP Adresse danach die einschlägigen Spam-Blocker nicht mehr funktionieren. Wer sich den Aufwand ersparen mag: die WordPress Community arbeitet bereits heftig an GPDR (oder auf gut deutsch DSGVO) konformen Veränderungen am Code. Im Idealfall heisst es am 25.5. also: entspannt zurücklehnen. Zumindest was den WordPress Core angeht. Eine komplett andere Veranstaltung sind installierte PlugIns, die weitere personenbezogene Daten erheben – Kontaktformulare, Shops, Foren, Ticketsysteme, …
Moin,
die meisten Spam-Blocker prüfen ja nicht nur über die IP sondern auch über Triggerwords.
Ich bin auf jeden Fall schon gespannt auf die kommenden Änderungen bzgl DSGVO von Seiten der WP Community, aber ich verlasse mich erst einmal nicht darauf 😉
Grüße
Jonas
Hallo Jonas
Besten Dank für die ausführliche Anleitung, ohne die ich mich nicht getraut habe.
Jetzt hab ich das erste Mal in der Datenbank gearbeitet und es hat alles funktioniert. *schwitz*
Grüsse, Conny
Moin Conny,
sehr gut, freut mich dass nichts schief gegangen ist 🙂
Grüße
Jonas
Sehr gute Anleitung, Jonas. Ich selbst schiebe diese Sache zwar noch vor mir her und hoffe auf eine Lösung durch WP, aber ich verlinke deine Seite gern in meinem Blog zur DSGVO.
Viele Grüße aus Berlin, Roswitha
Moin Roswitha,
das hoffe ich auch, aber man weiß noch nicht, in welchem Umfang sie kommt und ich persönlich kümmere mich gerne selber um die Dinge, die ich beeinflussen kann 🙂
Grüße
Jonas
Hallo Jonas,
eine Sache verstehe ich nicht ganz – und zwar das mit dem ChildTheme. Ich persönlich habe doch nur das eine Theme…
Viele Grüße, Conny
Moin Conny,
dann musst du entweder ein Child-Theme erstellen oder das Plugin nutzen. Ein Child-Theme ist im Prinzip eine leere Hülle, die alle Inhalte deines eigentlichen Themes übernimmt, aber eigene Anpassungen zulässt.
Grüße
Jonas
Danke für die Anleitung – ich habe Remove IP installiert gehabt und werde mich jetzt am Löschen der alten IP-Adressen versuchen … mit etwas Panik was kaputt zu machen … Viele Grüße Ingrid
Ich danke dir erst einmal für deine ausführlichen Artikel. Sehr hilfreich.
Ich tue mich aber noch etwas schwer einfach die IPs aus meinen Kommentaren zu löschen. Irgendwie haben wir doch auch eine Nachweispflicht in rechtlicher Hinsicht. Soll heißen, dass wenn jemand eine Straftat (Hasskommentare oder Schlimmeres) postet, dann sind wir doch verpflichtet das zur Anzeige zu bringen. Und dann wird doch sicherlich eine Dokumentation des Vorfalls von uns erwartet oder?
Lg
Marco
Moin Marco,
soweit ich weiß, darf unter gewissen Voraussetzungen die IP Adresse für 3 Wochen oder sowas in der Art gespeichert werden.
Bzgl. der Hasskommentare: Wenn du die Kommentare moderierst, wird so einer ja nicht öffentlich erscheinen. Klar, die Straftat liegt trotzdem vor…
Grüße
Jonas
Danke für deine Antwort. Das ist echt alles nervig. Keiner weiß was und ich bezweifle mal, dass Anwälte mehr wissen, selbst wenn sie vom Fach sind.
Ich habe noch folgendes Plugin gefunden. Das finde ich nicht ganz uninteressant und probiere es mal aus: https://de.wordpress.org/plugins/remove-comment-ips/
Es löscht die IPs nach 6 Wochen und die der alten Kommentare sofort. Ist mir sympatischer als die „Hau-mit-dem-Hammer-drauf-Methode“
Das Plugin "remove-comment-ips" ist wohl still gelegt.
Ich bin auf "DSGVO Tools: Kommentar-IP entfernen"
https:undefinedundefinedde.wordpress.orgundefinedpluginsundefineddsgvo-tools-kommentar-ip-entfernenundefined
gestoßen.
Damit kann man wohl sowohl die Zeit der Speicherung derPSs einstellen und außerdem alte IPs löschen. Scheint total simpel.
Moin,
danke für den Tipp, ich werde es mir bei Gelegenheit auch mal anschauen! 🙂
Grüße
Jonas
Darf man die IP Adresse generell nicht speichern? Habe jetzt mehrfach gesehen da es folg. gelöst wurde. Unter dem Kommentarfeld ist eine weitere Checkbox mit folg. Text.
„Durch Abhaken dieser Checkbox erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden. Um die Übersicht über Kommentare zu behalten und Missbrauch zu verhindern, speichert diese Website Name, E-Mail, Kommentartext sowie IP-Adresse und Zeitstempel deines Kommentars. Detaillierte Informationen dazu findest du in meiner Datenschutzerklärung. *“
Dazu steht dann in der Datenschutzerklärung folg.
„Wenn Nutzer Kommentare im Blog oder sonstige Beiträge hinterlassen, werden ihre IP-Adressen gespeichert. Das erfolgt zur Sicherheit des Anbieters, falls jemand in Kommentaren und Beiträgen widerrechtliche Inhalte schreibt (Beleidigungen, verbotene politische Propaganda etc.). In diesem Fall kann der Anbieter selbst für den Kommentar oder Beitrag belangt werden und ist daher an der Identität des Verfassers interessiert.“
Darf man die jetzt speichern oder nicht? Habe auch wp-members im Einsatz. Bei jeder neuen Registrierung wird auch die IP mitgespeichert. Ist das OK?
Moin Micha,
da ich kein Anwalt bin, kann ich dir hierzu keine rechtssichere Auskunft geben.
Wenn du diesen Hinweis einbaust und als Pflichtfeld deklarierst, schätze ich, sollte das in Ordnung gehen.
Bzg. wp-members: Nunja, die IP Adresse ist ja nicht wirklich zur Bereitstellung des Services durch dich nötig oder? Dadurch schätze ich mal, wird das ein Problem darstellen.
Grüße
Jonas
Hallo,
sehr guter Artikel und super easy umgesetzt. Habe den Code Snippet in die functions.php des Child Theme kopiert. Eine Frage habe ich noch zur Kommentarfunktion, wie kann ich die Felder E-Mail-Adresse und Name ausblenden. Hier werden ja persönliche Daten gesammelt. Im Backend finde ich zwar die Funktion, dass diese nicht mehr als Pflichtfelder definiert werden. Ich möchte diese aber komplett ausblenden. Habt ihr hierzu einen Tipp?
Beste Grüße
Sebastian
Hallo Jonas,
ich habe es das erste Mal gewagt, in meiner Datenbank zu arbeiten. Dank deiner Anleitung ist alles gut gegangen. Bloß an einer Stelle kam ich nicht weiter. Du schreibst: „Gib unter „SQL“ den Befehl zum Löschen ein und du bekommst die grün umrandete Erfolgsmeldung.“ – Meine Datenbank sah irgendwie anders aus. Deshalb habe ich statt der Verwendung des Befehls doch lieber die IP-Adressen händisch gelöscht.
Nach diesem Erfolgserlebnis habe ich mich dann auch noch an die functions.php meines Child-Themes gemacht und den vorgeschlagenen Befehl eingetragen. Hoffe sehr, dass ich damit schon mal dieses Kapitel auf dem Weg zur Datenschutz-konformen Website erledigt habe.
Ich danke dir sehr für deine gut verständlichen Anleitungen und lese immer mit großem Interesse deinen Newsletter.
Danke für die verständliche Anleitung! Leider hat mein Child Theme nur eine style.css und nicht die functions.php, die musste ich also im eigentlichen Theme ändern, was aber wunderbar funktioniert hat. Mal sehen, wie es nach dem Theme Update aussieht. Ansonsten muss ich IPs zukünftig doch über die Datenbank löschen.
Gruß, Jana
Moin Jana,
wenn dein Child Theme keine functions.php Datei hat, kannst du diese einfach anlegen, dann ist dein Code updatesicher 😉
Grüße
Jonas
Danke für diesen Artikel. Hat mir sehr geholfen. Dein Schreibstil ist auch angenehm.
Hallo ich biete bei meine Kommentaren z.b. eine Stimmfunktion an also Daumen hoch/runter wofür die IP ja notwendig ist wegen betrug.
Gibt es eine Möglichkeit die IP Adressen nach 7 tagen automatisch zu löschen?
Moin Daniel,
da müsstest du mal bei dem Autor des Plugins nachfragen, das du dafür nutzt. Wenn du die Funktion selber programmiert hast, benötigst du eine Funktion, welche die entsprechende Datenbankzeile regelmäßig löscht.
Grüße
Jonas
Toll gemacht,
gut erklärt.
Ich habe es per functions.php gelöst. Dank Deiner Anleitung ging das ganz einfach. Danke dafür!
Hey Jonas,
ich danke dir für den super Tipp und hilfreichen Artikel.
Hat mir prima weitergeholfen:-).
VG
Sven
Moin Sven,
sehr gerne, freut mich!
Grüße
Jonas
Vielen Dank für die anschauliche, gut erklärte Anleitung! WordPress ist manchmal nicht so simple zu durchschauen.
LG, Nina
Sehr gute Anleitung – Jonas. Ich habe es per functions.php gelöst. Dank Deiner Anleitung ging das ganz einfach. Danke dafür!