So bereitest Du WordPress auf die DSGVO vor

Vermutlich hast Du schon von der kommenden DSGVO gehört? Da diese so gut wie alle Webseitenbetreiber betrifft, habe ich mich etwas intensiver mit dem Thema beschäftigt. In diesem Artikel versuche ich so gut wie möglich zu erklären, wie Du WordPress auf die Datenschutz-Grundverordnung vorbereiten kannst.

Was ist die DSGVO?

Mit der Datenschutz-Grundverordnung (DSGVO) wird ein einheitliches Datenschutzrecht für die gesamte Europäische Union eingeführt. Die Verordnung gilt ab dem ab dem 25.05.2018 und regelt die Verarbeitung von personenbezogenen Daten.

Bei Verstößen können Bußgelder in Höhe von bis zu 20 Millionen Euro  oder bis zu 4 Prozent des Umsatzes verhängt werden.

Was sind personenbezogene Daten?

Personenbezogene Daten sind Informationen, die sich konkret auf eine Person beziehen. Hier ein paar Beispiele:

• Name
• Anschrift
• Bankverbindung
• Email-Adresse
• IP-Adresse

Allein schon durch das Speichern der IP-Adresse sind somit fast alle Webseitenbetreiber von der DS-GVO betroffen.

Für wen genau gilt die DSGVO?

Hier gibt es sicher einige Missverständnisse. Viele denken, nur große Unternehmen oder Online-Shops werden von der Neuregelung betroffen sein. Das stimmt so aber leider nicht.

Die DSGVO betrifft alle, die personenbezogene Daten erheben oder verarbeiten. Also auch Freelancer, Kleinunternehmer, Webseitenbetreiber, Blogger und Vereine.

Eine mögliche Ausnahme sind vielleicht rein private Blogs. Doch hier musst Du aufpassen. Denn sobald du Gewinnabsichten verfolgst oder Analyse-Tools nutzt, bist Du auch schon kein persönlicher Blogger mehr.

Wenn Du beispielsweise folgende Elemente auf Deiner Seite hast, wird Deine Seite nicht mehr als rein privat angesehen:

• Werbebanner
• Affiliate-Links
• Google Analytics
• Adsense

Was ist bei der Verarbeitung der Daten zu beachten?

• Daten dürfen nur rechtmäßig erhoben und verarbeitet werden
• Sie dürfen nur für den erhobenen Zweck genutzt werden
• Datensparsamkeit: es sollen nur die wirklich benötigen Daten erhoben werden
• Daten sollen nur so lange wie nötig gespeichert werden
• die Sicherheit der Daten muss gewährleistet sein
• die Verarbeitung muss dokumentiert werden

In Artikel 5 DSGVO kannst Du die Grundsätze für die Verarbeitung personenbezogener Daten ganz genau nachlesen.

Außerdem musst du noch folgendes beachten:

• Benutzer müssen Dir Ihre Einwilligung zur Speicherung ihrer Daten geben
• Du musst Benutzer genau informieren, was mit den Daten passiert
• Der Benutzer muss seine Daten esinsehen, berichtigen und auch löschen können
  Hierfür bietet WordPress 4.9.6 einige Funktionen, die ich hier beschrieben habe.

WordPress fit für die DSGVO machen

Viele Vorschriften gelten eigentlich schon seit längerem, wurden aber von vielen nicht oder nur teilweise umgesetzt.
Da die DSGVO auch mich betrifft, habe ich natürlich sehr intensiv recherchiert. Dabei habe ich sehr viele nützliche Informationen gefunden, doch einige Fragen sind für mich nicht vollständig geklärt.

Trotzdem möchte ich Dir einige praktische Tipps geben, worauf Du bei Deiner Webseite achten musst.

SSL Verschlüsselung

Hast Du auf Deiner Seite beispielsweise Kontaktformulare? Oder sind Blog-Kommentare erlaubt? Dann werden personenbezogene Daten übertragen. Und Du musst als Webseitenbetreiber dafür sorgen, dass diese Daten auch sicher übertragen werden.
Genau dafür sorgt eine SSL Verschlüsselung. Diese ist eigentlich jetzt schon für die meisten verpflichtend. Falls Deine Seite noch kein grünes Schloss hat, solltest Du dies also bald angehen.
Zum Glück gibt es inzwischen kostenlose SSL-Zertifikate und auch die Umstellung ist schnell erledigt. Wie Du Deine Webseite auf SSL umstellst habe ich in einer ausführlichen Anleitung beschrieben.

Google Analytics

Nutzt Du Google Analytics? Dann solltest Du solltest auf jeden Fall überprüfen, ob es auch rechtskonform eingebunden ist.
Damit Du das Analyse-Tool überhaupt rechtssicher verwendet werden darf, musst Du zuerst mit Google einen Vertrag zur Auftragsverarbeitung abschließen.

Das ist übrigens auch schon seit längerem nötig. Falls Du es vergessen haben solltest, kannst Du den Vertrag hier als PDF downloaden. Anschließend musst Du ihn unterschrieben an Google schicken.
Zusätzlich solltest Du noch im Analytics-Konto dem „Zusatz zur Datenverarbeitung“ zustimmen.

Zuletzt solltest Du noch den Analytics-Code prüfen:

Wenn folgende Zeile darin enthalten ist, bist Du auf der sicheren Seite.

ga('set','anonymizeIp',true)

Durch den Zusatz anonymize wird die IP-Adresse des Surfers gekürzt und somit anonymisiert.

Zum Einbinden auf deiner Website musst du auf jeden Fall das rechtssichere Opt-In Verfahren nutzen. Dabei startet das Tracking erst, nachdem der Nutzer seine Einwilligung erteilt hat. Zudem sollte er vorher auch über die Cookies informiert werden.

Die beste Möglichkeit hierfür bieten spezielle WordPress Cookie Plugins. Empfehlen kann ich hier neben Borlabs Cookie auch mein aktuell genutztes Tool Real Cookie Banner.

Mit beiden Plugins kannst du sämtliche Cookies und externe Inhalte beim Laden der Seite blockieren. So lange, bis der Nutzer sein OK gibt. Das funktioniert auch für AdSense, Facebook und YouTube.

Mit dem Coupon Code WEBTIMISER erhältst Du einen Rabatt von 5% auf Deinen Kauf.

Datenschutzerklärung

Wie schon bisher muss die Datenschutzerklärung immer gut erreichbar sein. Am besten als extra Punkt im Menü oben oder im Footer. Dabei aber unbedingt beachten, dass der Punkt nicht von einer Cookie-Bar oder einem Pop-Up Fenster überdeckt wird.

Besonders wichtig ist natürlich der Inhalt der Datenschutzerklärung. Hier musst Du auf alle individuellen Gegebenheiten Deiner Seite eingehen.
Eine gute Unterstützung bei der Erstellung der Erklärung bieten die Online-Generatoren, wie z.B.:

• datenschutz-generator.de
• e-recht24.de/muster-datenschutzerklaerung.html
• activemind.de/datenschutz/datenschutzhinweis-generator

Wenn Deine Datenschutzerklärung aber wirklich vollkommen rechtssicher sein soll, musst Du einen Anwalt kontaktieren.

Ich selbst nutze inzwischen eRecht24 Premium, das jederzeit problemlos kündbar ist. D.h. sobald sich die Wogen geglättet haben und es konkrete Ansagen gibt, werde ich die Mitgliedschaft wieder beenden.

Eine Alternative bietet der Service von easyRechtssicher. Auch hier kannst du dir deine eigene rechtssichere Datenschutzerklärung erstellen.

Hosting

Dein Provider hostet nicht einfach nur Deine Webseite, sondern speichert Zugriffe in den Server-Logs oder überträgt bzw. speichert Mails. Daher solltest Du mit ihm einen Vertrag zur Auftragsverarbeitung (AV) abschließen.
Viele Hoster bieten jetzt schon die entprechenden Formulare an, bei einigen muss man erst nachfragen.

Social Media Plugins

Viele Share- und Like-Buttons stellen automatisch eine Verbindung zu sozialen Netzwerken her. Daher solltest Du Dir Deine Seite genauer ansehen.
Nutzt Du Teilen-Buttons von Facebook oder Twitter? Oder vielleicht die Facebook-Box in der Sidebar? Diese müssen auf jeden Fall (schon jetzt) weg. Denn Sie stellen schon beim Aufrufen der Seite eine Verbindung zu Facebook her und übertragen persönliche Daten.

Moment gilt die sogenannte Shariff Lösung als die sicherste Alternative. Aber auch hierzu gibt es keine konkrete Aussage. Mit genau diesem Problem habe ich mich bereits vor einiger Zeit in diesem Artikel befasst.

Kontaktformulare

Durch die DSGVO müssen auch Kontaktformulare angepasst werden. Auf jeden Fall müssen Formulare verschlüsselt sein (SSL) und der Absender sollte über die Verwendung seiner Daten informiert werden.
Einige Juristen gehen noch weiter und empfehlen, dass der Absender seine Erlaubnis zur Verwendung der Formulardaten erteilen muss. D.h. jedes Formular benötigt eine Checkbox mit Erklärbärtext, die vom Absender angehakt werden muss.

Die Umsetzung ist recht einfach: Dazu musst Du nur eine Checkbox mit dem Text als Pflichtfeld anlegen. Wenn Du viele Formulare hast, ist das Plugin WP GDPR Compliance eine sehr gute Lösung. Momentan unterstützt es Contact Form 7 und Gravity Forms.

Kommentare

Auch bei Blog-Kommentaren sollte der Benutzer seine Zustimmung erklären. Also muss hier ebenfalls vor dem Abschicken des Kommentars eine Checkbox mit Text eingefügt werden.
Hierfür kannst Du wie für Formulare das Plugin WP GDPR Compliance nutzen.

Ein weiteres mögliches Problem ist das Speichern der IP-Adresse. WordPress speichert diese nämlich standardmäßig zu jedem Kommentar in der Datenbank ab.
Somit werden wieder persönliche Daten gespeichert, was eigentlich vermieden werden soll. Andererseits wird die IP im Fall von z.B. beleidigenden Kommentaren zur strafrechtlichen Nachverfolgung benötigt. Leider gibt es bisher zu diesem Thema keine eindeutige und verbindliche Aussage.

Eine mögliche Lösung: Keine IP-Adresse mehr speichern oder sie zumindest nach einem gewissen Zeitraum löschen.

Um die IP-Adresse künftig nicht mehr zu speichern, genügt ein kleiner Code-Schnipsel. Diesen fügst Du in Deine Theme-functions.php oder eine custom-functions.php ein.

function wpb_remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Die Erklärung zum Snippet und wie Du bereits eingetragene IP-Adressen löschen kannst, findest Du in diesem Artikel von wpbeginner.

Ich selbst nutze inzwischen das Plugin Remove Comment IPs. Damit werden die IP-Adressen automatisch nach 60 Tagen gelöscht.

Alternativ könntest du natürlich auch die Kommentare deaktvieren.

Newsletter

Versendest Du Newsletter? Dann musst Du schon seit langem das Double Opt-in Verfahren anwenden. Zukünftig dürfen nur die wirklich erforderlichen Informationen als Pflichtfeld erhoben werden.

Wenn Du für den Versand einen externen Dienst nutzt, musst Du mit dem Anbieter einen AV-Vertrag abschließen. Falls Du einen Anbieter außerhalb der EU nutzt, gelten weitere Bestimmungen (Privacy Shield).

Services von Drittanbietern

Generell sind externe Services auf Deiner Webseite problematisch. Denn sie alle könnten persönliche Daten des Surfers ohne dessen Zustimmung übertragen und nutzen. Genau aus diesem Grund sollte man ja auch nicht den Facebook Like-Button einsetzen oder Analytics ohne rechtliche Absicherung.

Aber es gibt natürlich noch weitaus mehr Drittanbieter, an die man zunächst gar nicht denkt. Was ist z.B. mit der Nutzung von Webfonts oder Gravataren?

Google Webfonts

Es gibt inzwischen kaum noch Webseiten, die auf Google Webfonts verzichten. Auch ich habe sie lange Zeit genutzt und bin schon vor einiger Zeit auf Systemschriften umgestiegen.

Allerdings wird beim Abrufen der Schrift eine Verbindung zum Google Font-Server hergestellt und dabei die IP-Adresse des Users übertragen. Ob und welche weiteren Daten dabei noch an Google gesendet werden, kann keiner so genau sagen.

Das Problem kann man aber lösen, in dem man die Schriftarten lokal auf dem eigenen Server speichert. Dabei sollte man vorher die Lizenzbedingungen prüfen, um mögliche Urheberrechtsverletzungen zu vermeiden. Oder man nutzt Systemschriften, die leider nicht ganz so toll aussehen.

Gravatare

Hast Du Dich schon mal gefragt, woher die Nutzerbilder bei den Blogkommentaren stammen? Diese werden durch den Service von gravatar.com automatisch der hinterlegten Email-Adresse zugeordnet. D.h. ein Benutzer registriert sich dort mit seiner Mail und hinterlegt ein Profil-Bild. Hinterlässt er einen Blog-Kommentar, stellt WordPress automatisch eine Verbindung zu Gravatar her und zeigt sein Bild an.

Falls auch das für die Einhaltung der DSGVO problematisch sein sollte, müsste man die Anzeige von Avataren deaktivieren. Zum Glück geht das recht einfach unter > Einstellungen > Diskussion > Avatare

Das sind nur 2 Beispiele. Es viele weitere externe Dienste, die häufig in WordPress selbst, in Themes oder Plugins seingebunden sind. Ich denke da z.B. an Font Awesome, jQuery, Emojis oder Google Maps. Auch Plugins, wie beispielsweise Askimet oder Jetpack sind schon jetzt problematisch.

Inzwischen gibt es einige Plugins, die das sofortige Laden von externen Services unterbinden wie z.B. DSGVO Patron , Borlabs Cookie oder Pixelmate.

Cookies

Mit Cookies sollte man grundsätzlich vorsichtig sein. Denn auch hier gilt: die Verarbeitung der persönlichen Daten darf nur rechtmäßig erfolgen. Die genauen Bedingungen werden in Art. 6 DSGVO genannt.
Am besten setzt Du also nur die wirklich notwendigen, die für den Betrieb der Seite erforderlich sind. Z.B. für den Warenkorb oder Mitgliederbereiche.

Diesen Einsatz kann man auf jeden Fall mit einer Interessenabwägung begründen:

…zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Artikel 6 Abs. 1 Satz 1 lit. f zur Textpassage

Eine genauere und schärfere Regelung wird noch mit der ePrivacy-Verordnung im nächsten Jahr folgen. Welche Regelung bis dahin gilt, ist momentan noch etwas unklar.

Auf jeden Fall musst Du in der Datenschutzerklärung genau über die Nutzung von Cookies aufklären.
Wenn du Tracking-Dienste nutzt, musst du auf jeden Fall ein Cookie Banner nutzen. Dadurch wird der Nutzer über den Einsatz von Cookies informiert und kann Details in der Datenschutzerklärung nachlesen. Auch muss er die Möglichkeit haben, Cookies ablehnen zu können. Ich selbst nutzt dafür das Plugin Real Cookie Banner.

Weitere nützliche Cookie-Plugins und auch eine Kurzanleitung findest Du in meinem Beitrag Cookie Plugins für WordPress.

Weitere Infos dazu unter:

• https://www.dr-datenschutz.de/cookie-und-webtracking-nur-mit-einwilligung-was-waere-wenn/
• https://www.it-recht-kanzlei.de/cookies-eu-datenschutz-grundverordnung.html

VG Wort

Viele Blogger (auch ich) nutzen die Zählpixel der VG Wort. Dadurch können Autoren ihren Anspruch auf eine Vergütung für ihre Texte geltend machen. Doch auch hier werden natürlich wieder Daten an Dritte übertragen. Ob das mit der DSGVO vereinbar ist?

Laut VG Wort ist das absolut kein Problem, da keine personenbezogenen Daten übermittelt werden.
Zudem wird man sich als Autor sicherlich auf Art 6 DSGVO berufen können. Denn hier überwiegen die „berechtigten Interessen“, sofern die Interessen der betroffenen Personen nicht überwiegen. Rechtlich geklärt ist das Ganze aber immer noch nicht. Weitere Infos findest du in diesem Artikel.

Dokumentationspflicht

Leider bringt die DSGVO auch zusätzlichen Papierkram mit sich. Auch wenn sich das nicht direkt auf die Webseite bezieht, möchte ich 2 wichtige Punkte erwähnen.

AV-Verträge

Verarbeiten andere in Deinem Auftrag die erhobenen Daten weiter? Dann musst Du mit diesen Unternehmen einen Vertrag zur Auftragsverarbeitung abschließen.
Das betrifft wie bereits erwähnt z.B. den Provider, Google oder Deinen Newsletter-Versender.

Verzeichnis der Verarbeitungstätigkeiten

In diesem Verzeichnis musst Du genau auflisten, was Du mit den persönlichen Daten machst. Es besteht aus einem Vorblatt mit den Grundangaben zu Deinem Unternehmen und einer oder mehrerer Anlagen. Diese enthalten dann die Details zu den einzelnen Verarbeitungstätigkeiten.
Ich habe mir dafür die Broschüre Erste Hilfe zur Datenschutz-Grundverordung* gekauft und werde mir die Muster demnächst genauer ansehen. Aber hier gibt es schon jetzt kostenlose Vorlagen zum Downloaden:

• https://www.activemind.de/datenschutz/dokumente/verzeichnis-verarbeitungstaetigkeiten-verantwortlicher/
• https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Dokumentationspflicht.html

WordPress Plugins checken

Leider gibt es noch kein DSGVO-Siegel für WordPress Plugins. Daher solltest Du alle Deine genutzten Plugins genau prüfen:

• Speichert das Plugin personenbezogene Daten?
• Werden Cookies gesetzt?
• Stellt das Plugin Verbindungen zu Dritten her?

Am besten überpüfst Du Deine Seite mit den Browser Tools.

Alternativ kannst du für den Cookie-Check auch Online-Tools wie z.B. CookieMetrix nutzen.

Da das Tool nicht die gesamte Webseite scannt, bietet es natürlich nur einen groben Überblick.

Nützliche DSGVO WordPress Plugins

• WP GDPR Compliance
  Ergänzt Formulare, WooCommerce und das Kommentarfomulare um die benötigte Checkbox.
• GDPR Tools
  Beinhaltet eine Cookie-Bar, Abschalten von Tracking-Services und eine Möglichkeit User-Daten zu löschen.
• WP GDPR
  Ermöglicht das Handling von Benutzeranfragen in Bezug auf Einsicht und Löschen ihrer Daten
• Delete Me
  Damit können registrierte Benutzer ihren Account selbst löschen.
• Google Analytics Opt-Out
  Erlaubt es Nutzern, sich dem Tracking durch Google Analytics zu entziehen.
• Real Cookie Banner
  Dieses Cookie Consent Plugin unterstützt dich sehr gut bei der rechtskonformen Einrichtung von Cookies. Für sämtliche externe Dienste bietet es fertige Vorlagen und Content Blocker. Eine Kurzanleitung findest du in meinem Real Cookie Banner Test.
• Borlabs Cookie
  Mit diesem Plugin können Nutzer wählen, welche Cookies sie akzeptieren möchten. Momentan eines der besten Tools für die Einbindung von Google Analytics, Adsense und Facebook Pixel. Zusätzlich können Medien-Inhalte wie YouTube Videos blockiert werden. Eine Übersicht der Features findest du in meinem Beitrag Borlabs Cookie 2.0.
• DSGVO Patron
  Mit Hilfe von DSGVO Patron können externe Ressourcen wie z.B. Google Fonts auf dem eigenen Server gecacht werden. Es beihnhaltet noch weitere Features wie das kürzen von Kommentar-IPs und eine Lösung für YouTube-Videos.
• Pixelmate
  Auch Pixelmate hilft dir bei der rechtssicheren Einbindung von Cookies. Sowohl Analytics, Facebook als auch Social Media Inhalte kannst du damit schnell und einfach integrieren.

Links zum Thema:

• Wie betrifft Dich die DSGVO?
• DSGVO: Diese Änderungen kommen auf dein Online-Business zu
• WordPress-Plugins & DSGVO: Liste problematischer Plugins (+Plugin-Tipps!)
• Webfonts lokal in WordPress nutzen
• FAQ vom Bayerisches Landesamt für Datenschutzaufsicht

Fazit:

Mit der Datenschutzgrundverordnung möchte die EU die persönlichen Daten von uns allen besser schützen. Im Prinzip eine gute Sache. Leider ist die praktische Umsetzung für Nicht-Juristen nicht ganz so einfach. Auch bei mir sind noch einige Fragen offen. Trotzdem hoffe ich, dass Dir meine unvollständige Checkliste etwas weiterhelfen konnte.