Vermutlich hast Du schon von der kommenden DSGVO gehört? Da diese so gut wie alle Webseitenbetreiber betrifft, habe ich mich etwas intensiver mit dem Thema beschäftigt. In diesem Artikel versuche ich so gut wie möglich zu erklären, wie Du WordPress auf die Datenschutz-Grundverordnung vorbereiten kannst.

Was ist die DSGVO?

Mit der Datenschutz-Grundverordnung (DSGVO) wird ein einheitliches Datenschutzrecht für die gesamte Europäische Union eingeführt. Die Verordnung gilt ab dem ab dem 25.05.2018 und regelt die Verarbeitung von personenbezogenen Daten.

Bei Verstößen können Bußgelder in Höhe von bis zu 20 Millionen Euro  oder bis zu 4 Prozent des Umsatzes verhängt werden.

Was sind personenbezogene Daten?

Personenbezogene Daten sind Informationen, die sich konkret auf eine Person beziehen. Hier ein paar Beispiele:

  • Name
  • Anschrift
  • Bankverbindung
  • Email-Adresse
  • IP-Adresse

Allein schon durch das Speichern der IP-Adresse sind somit fast alle Webseitenbetreiber von der DS-GVO betroffen.

Für wen genau gilt die DSGVO?

Hier gibt es sicher einige Missverständnisse. Viele denken, nur große Unternehmen oder Online-Shops werden von der Neuregelung betroffen sein. Das stimmt so aber leider nicht.

Die DSGVO betrifft alle, die personenbezogene Daten erheben oder verarbeiten. Also auch Freelancer, Kleinunternehmer, Webseitenbetreiber, Blogger und Vereine.

Eine mögliche Ausnahme sind vielleicht rein private Blogs. Doch hier musst Du aufpassen. Denn sobald du Gewinnabsichten verfolgst oder Analyse-Tools nutzt, bist Du auch schon kein persönlicher Blogger mehr.

Wenn Du beispielsweise folgende Elemente auf Deiner Seite hast, wird Deine Seite nicht mehr als rein privat angesehen:

  • Werbebanner
  • Affiliate-Links
  • Google Analytics
  • Adsense

Was ist bei der Verarbeitung der Daten zu beachten?

  • Daten dürfen nur rechtmäßig erhoben und verarbeitet werden
  • Sie dürfen nur für den erhobenen Zweck genutzt werden
  • Datensparsamkeit: es sollen nur die wirklich benötigen Daten erhoben werden
  • Daten sollen nur so lange wie nötig gespeichert werden
  • die Sicherheit der Daten muss gewährleistet sein
  • die Verarbeitung muss dokumentiert werden

In Artikel 5 DSGVO kannst Du die Grundsätze für die Verarbeitung personenbezogener Daten ganz genau nachlesen.

Außerdem musst du noch folgendes beachten:

  • Benutzer müssen Dir Ihre Einwilligung zur Speicherung ihrer Daten geben
  • Du musst Benutzer genau informieren, was mit den Daten passiert
  • Der Benutzer muss seine Daten einsehen, berichtigen und auch löschen können
    Hierfür bietet WordPress 4.9.6 einige Funktionen, die ich hier beschrieben habe.

WordPress fit für die DSGVO machen

Viele Vorschriften gelten eigentlich schon seit längerem, wurden aber von vielen nicht oder nur teilweise umgesetzt.
Da die DSGVO auch mich betrifft, habe ich natürlich sehr intensiv recherchiert. Dabei habe ich sehr viele nützliche Informationen gefunden, doch einige Fragen sind für mich nicht vollständig geklärt.

Trotzdem möchte ich Dir einige praktische Tipps geben, worauf Du bei Deiner Webseite achten musst.

Bei meiner (unvollständigen) Checkliste handelt es sich um meine persönliche Einschätzung. Diese kann keine rechtliche Beratung darstellen oder ersetzen. Ich bin kein Anwalt und kann daher keine rechtsverbindlichen Auskünfte erteilen. Bei Fragen solltest Du Dich an einen Rechtsanwalt wenden.

 

SSL Verschlüsselung

dsgvo ssl verschlüsselung
Hast Du auf Deiner Seite beispielsweise Kontaktformulare? Oder sind Blog-Kommentare erlaubt? Dann werden personenbezogene Daten übertragen. Und Du musst als Webseitenbetreiber dafür sorgen, dass diese Daten auch sicher übertragen werden.
Genau dafür sorgt eine SSL Verschlüsselung. Diese ist eigentlich jetzt schon für die meisten verpflichtend. Falls Deine Seite noch kein grünes Schloss hat, solltest Du dies also bald angehen.
Zum Glück gibt es inzwischen kostenlose SSL-Zertifikate und auch die Umstellung ist schnell erledigt. Wie Du Deine Webseite auf SSL umstellst habe ich in einer ausführlichen Anleitung beschrieben.

Google Analytics

Google Analytics
Nutzt Du Google Analytics? Dann solltest Du solltest auf jeden Fall überprüfen, ob es auch rechtskonform eingebunden ist.
Damit Du das Analyse-Tool überhaupt rechtssicher verwendet werden darf, musst Du zuerst mit Google einen Vertrag zur Auftragsverarbeitung abschließen.

Das ist übrigens auch schon seit längerem nötig. Falls Du es vergessen haben solltest, kannst Du den Vertrag hier als PDF downloaden. Anschließend musst Du ihn unterschrieben an Google schicken.
Zusätzlich solltest Du noch im Analytics-Konto dem “Zusatz zur Datenverarbeitung” zustimmen.

Zuletzt solltest Du noch den Analytics-Code prüfen:

Wenn folgende Zeile darin enthalten ist, bist Du auf der sicheren Seite.

ga('set','anonymizeIp',true)

Durch den Zusatz anonymize wird die IP-Adresse des Surfers gekürzt und somit anonymisiert.

Zusätzlich solltest Du noch eine Opt-Out Möglichkeit anbieten. Dadurch kann der Benutzer per Klick festlegen, dass sein Besuch nicht von Google Analytics erfasst wird. Am schnellsten geht das mit dem WordPress Plugin Google Analytics Opt-Out.
Wer dem Nutzer eine Opt-In Möglichkeit anbieten möchte, sollte sich Borlabs Cookie genauer ansehen. Damit kann man sämtliche Cookies (auch Adsense) beim Laden der Seite blockieren und erst nach dem Opt-In aktivieren. Mit dem Coupon Code WEBTIMISER erhältst Du einen Rabatt von 5% auf Deinen Kauf.

Datenschutzerklärung

datenschutzerklärung
Wie schon bisher muss die Datenschutzerklärung immer gut erreichbar sein. Am besten als extra Punkt im Menü oben oder im Footer. Dabei aber unbedingt beachten, dass der Punkt nicht von einer Cookie-Bar oder einem Pop-Up Fenster überdeckt wird.

Besonders wichtig ist natürlich der Inhalt der Datenschutzerklärung. Hier musst Du auf alle individuellen Gegebenheiten Deiner Seite eingehen.
Eine gute Unterstützung bei der Erstellung der Erklärung bieten die Online-Generatoren, wie z.B.:

Wenn Deine Datenschutzerklärung aber wirklich vollkommen rechtssicher sein soll, musst Du einen Anwalt kontaktieren.

Ich selbst nutze inzwischen eRecht24 Premium, das jederzeit problemlos kündbar ist. D.h. sobald sich die Wogen geglättet haben und es konkrete Ansagen gibt, werde ich die Mitgliedschaft wieder beenden.

Hosting

Hosting

Dein Provider hostet nicht einfach nur Deine Webseite, sondern speichert Zugriffe in den Server-Logs oder überträgt bzw. speichert Mails. Daher solltest Du mit ihm einen Vertrag zur Auftragsverarbeitung (AV) abschließen.
Viele Hoster bieten jetzt schon die entprechenden Formulare an, bei einigen muss man erst nachfragen.

Social Media Plugins

Kontaktformulare
Viele Share- und Like-Buttons stellen automatisch eine Verbindung zu sozialen Netzwerken her. Daher solltest Du Dir Deine Seite genauer ansehen.
Nutzt Du Teilen-Buttons von Facebook oder Twitter? Oder vielleicht die Facebook-Box in der Sidebar? Diese müssen auf jeden Fall (schon jetzt) weg. Denn Sie stellen schon beim Aufrufen der Seite eine Verbindung zu Facebook her und übertragen persönliche Daten.

Moment gilt die sogenannte Shariff Lösung als die sicherste Alternative. Aber auch hierzu gibt es keine konkrete Aussage. Mit genau diesem Problem habe ich mich bereits vor einiger Zeit in diesem Artikel befasst.

Kontaktformulare


Durch die DSGVO müssen auch Kontaktformulare angepasst werden. Auf jeden Fall müssen Formulare verschlüsselt sein (SSL) und der Absender sollte über die Verwendung seiner Daten informiert werden.
Einige Juristen gehen noch weiter und empfehlen, dass der Absender seine Erlaubnis zur Verwendung der Formulardaten erteilen muss. D.h. jedes Formular benötigt eine Checkbox mit Erklärbärtext, die vom Absender angehakt werden muss.

Die Umsetzung ist recht einfach: Dazu musst Du nur eine Checkbox mit dem Text als Pflichtfeld anlegen. Wenn Du viele Formulare hast, ist das Plugin WP GDPR Compliance eine sehr gute Lösung. Momentan unterstützt es Contact Form 7 und Gravity Forms.

Kommentare

Kommentare
Auch bei Blog-Kommentaren sollte der Benutzer seine Zustimmung erklären. Also muss hier ebenfalls vor dem Abschicken des Kommentars eine Checkbox mit Text eingefügt werden.
Hierfür kannst Du wie für Formulare das Plugin WP GDPR Compliance nutzen.

Ein weiteres mögliches Problem ist das Speichern der IP-Adresse. WordPress speichert diese nämlich standardmäßig zu jedem Kommentar in der Datenbank ab.
Somit werden wieder persönliche Daten gespeichert, was eigentlich vermieden werden soll. Andererseits wird die IP im Fall von z.B. beleidigenden Kommentaren zur strafrechtlichen Nachverfolgung benötigt. Leider gibt es bisher zu diesem Thema keine eindeutige und verbindliche Aussage.

Eine mögliche Lösung: Keine IP-Adresse mehr speichern oder sie zumindest nach einem gewissen Zeitraum löschen.

Um die IP-Adresse künftig nicht mehr zu speichern, genügt ein kleiner Code-Schnipsel. Diesen fügst Du in Deine Theme-functions.php oder eine custom-functions.php ein.

function wpb_remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Die Erklärung zum Snippet und wie Du bereits eingetragene IP-Adressen löschen kannst, findest Du in diesem Artikel von wpbeginner.

Ich selbst nutze inzwischen das Plugin Remove Comment IPs. Damit werden die IP-Adressen automatisch nach 60 Tagen gelöscht.

Newsletter

Newsletter
Versendest Du Newsletter? Dann musst Du schon seit langem das Double Opt-in Verfahren anwenden. Zukünftig dürfen nur die wirklich erforderlichen Informationen als Pflichtfeld erhoben werden.

Wenn Du für den Versand einen externen Dienst nutzt, musst Du mit dem Anbieter einen AV-Vertrag abschließen. Falls Du einen Anbieter außerhalb der EU nutzt, gelten weitere Bestimmungen (Privacy Shield).

Services von Drittanbietern

externe services
Generell sind externe Services auf Deiner Webseite problematisch. Denn sie alle könnten persönliche Daten des Surfers ohne dessen Zustimmung übertragen und nutzen. Genau aus diesem Grund sollte man ja auch nicht den Facebook Like-Button einsetzen oder Analytics ohne rechtliche Absicherung.

Aber es gibt natürlich noch weitaus mehr Drittanbieter, an die man zunächst gar nicht denkt. Was ist z.B. mit der Nutzung von Webfonts oder Gravataren?

Google Webfonts

Es gibt inzwischen kaum noch Webseiten, die auf Google Webfonts verzichten. Auch ich nutze die Schriften teilweise, da Systemschriften einfach nicht ganz so gut aussehen.

Allerdings wird beim Abrufen der Schrift eine Verbindung zum Google Font-Server hergestellt und dabei die IP-Adresse des Users übertragen. Ob und welche weiteren Daten dabei noch an Google gesendet werden, kann keiner so genau sagen. Legt man nun die DSGVO streng aus, dann dürften wir alle kein Google Fonts mehr nutzen.

Das Problem kann man aber lösen, in dem man die Schriftarten lokal auf dem eigenen Server speichert. Dabei sollte man vorher die Lizenzbedingungen prüfen, um mögliche Urheberrechtsverletzungen zu vermeiden. Oder man nutzt Systemschriften, die leider nicht ganz so toll aussehen.

Gravatare

Hast Du Dich schon mal gefragt, woher die Nutzerbilder bei den Blogkommentaren stammen? Diese werden durch den Service von gravatar.com automatisch der hinterlegten Email-Adresse zugeordnet. D.h. ein Benutzer registriert sich dort mit seiner Mail und hinterlegt ein Profil-Bild. Hinterlässt er einen Blog-Kommentar, stellt WordPress automatisch eine Verbindung zu Gravatar her und zeigt sein Bild an.

Falls auch das für die Einhaltung der DSGVO problematisch sein sollte, müsste man die Anzeige von Avataren deaktivieren. Zum Glück geht das recht einfach unter > Einstellungen > Diskussion > Avatare

Das sind nur 2 Beispiele. Es viele weitere externe Dienste, die häufig in WordPress selbst, in Themes oder Plugins seingebunden sind. Ich denke da z.B. an Font Awesome, jQuery, Emojis oder Google Maps. Auch Plugins, wie beispielsweise Askimet oder Jetpack sind schon jetzt problematisch.

Inzwischen gibt es einige Plugins, die das sofortige Laden von externen Services unterbinden wie z.B. DSGVO Patron oder Borlabs Cookie.

Cookies

Cookies
Mit Cookies sollte man grundsätzlich vorsichtig sein. Denn auch hier gilt: die Verarbeitung der persönlichen Daten darf nur rechtmäßig erfolgen. Die genauen Bedingungen werden in Art. 6 DSGVO genannt.
Am besten setzt Du also nur die wirklich notwendigen, die für den Betrieb der Seite erforderlich sind. Z.B. für den Warenkorb oder Mitgliederbereiche.

Diesen Einsatz kann man auf jeden Fall mit einer Interessenabwägung begründen:

...zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Eine genauere und schärfere Regelung wird noch mit der ePrivacy-Verordnung im nächsten Jahr folgen. Welche Regelung bis dahin gilt, ist momentan noch recht unklar.

Auf jeden Fall musst Du in der Datenschutzerklärung genau über die Nutzung von Cookies aufklären.
Auch wird empfohlen, ein sogenanntes Cookie-Banner zu nutzen. Dadurch wird der Nutzer über den Einsatz von Cookies informiert und kann Details in der Datenschutzerklärung nachlesen.

Einige nützliche Cookie-Plugins und auch eine Kurzanleitung findest Du in meinem Beitrag Cookie Plugins für WordPress.

Weitere Infos dazu unter:

VG Wort

vg wort
Viele Blogger (auch ich) nutzen die Zählpixel der VG Wort. Dadurch können Autoren ihren Anspruch auf eine Vergütung für ihre Texte geltend machen. Doch auch hier werden natürlich wieder Daten an Dritte übertragen. Ob das mit der DSGVO vereinbar ist?

Laut VG Wort ist das absolut kein Problem, da keine personenbezogenen Daten übermittelt werden. Genaueres kann man in einer schon etwas älteren Pressemitteilung nachlesen.
Zudem wird man sich als Autor sicherlich auf Art 6 DSGVO berufen können. Denn hier überwiegen die “berechtigten Interessen”, sofern die Interessen der betroffenen Personen nicht überwiegen.

Dokumentationspflicht

dokumentationspflicht
Leider bringt die DSGVO auch zusätzlichen Papierkram mit sich. Auch wenn sich das nicht direkt auf die Webseite bezieht, möchte ich 2 wichtige Punkte erwähnen.

AV-Verträge

Verarbeiten andere in Deinem Auftrag die erhobenen Daten weiter? Dann musst Du mit diesen Unternehmen einen Vertrag zur Auftragsverarbeitung abschließen.
Das betrifft wie bereits erwähnt z.B. den Provider, Google oder Deinen Newsletter-Versender.

Verzeichnis der Verarbeitungstätigkeiten

In diesem Verzeichnis musst Du genau auflisten, was Du mit den persönlichen Daten machst. Es besteht aus einem Vorblatt mit den Grundangaben zu Deinem Unternehmen und einer oder mehrerer Anlagen. Diese enthalten dann die Details zu den einzelnen Verarbeitungstätigkeiten.
Ich habe mir dafür die Broschüre Erste Hilfe zur Datenschutz-Grundverordung* gekauft und werde mir die Muster demnächst genauer ansehen. Aber hier gibt es schon jetzt kostenlose Vorlagen zum Downloaden:

WordPress Plugins checken

wordpress plugins
Leider gibt es noch kein DSGVO-Siegel für WordPress Plugins. Daher solltest Du alle Deine genutzten Plugins genau prüfen:

  • Speichert das Plugin personenbezogene Daten?
  • Werden Cookies gesetzt?
  • Stellt das Plugin Verbindungen zu Dritten her?

Am besten überpüfst Du Deine Seite mit den Browser Tools.

Browser tools

Welche Verbindungen stellt die Seite her? Analyse mit den Browser-Tools.

 

Cookie Analyse

Hier siehst Du, welche Cookies gesetzt werden.

 

Nützliche DSGVO WordPress Plugins

  • WP GDPR Compliance
    Ergänzt Formulare, WooCommerce und das Kommentarfomulare um die benötigte Checkbox.
  • GDPR Tools
    Beinhaltet eine Cookie-Bar, Abschalten von Tracking-Services und eine Möglichkeit User-Daten zu löschen.
  • WP GDPR
    Ermöglicht das Handling von Benutzeranfragen in Bezug auf Einsicht und Löschen ihrer Daten
  • Delete Me
    Damit können registrierte Benutzer ihren Account selbst löschen.
  • Google Analytics Opt-Out
    Erlaubt es Nutzern, sich dem Tracking durch Google Analytics zu entziehen.
  • Borlabs Cookie
    Mit diesem Plugin können Nutzer wählen, ob sie Cookies von Drittanbietern oder nur Deine akzeptieren möchten. Momentan wohl die beste Opt-Out Methode für Google Analytics, Adsense und Facebook Pixel.
  • DSGVO Patron
    Mit Hilfe von DSGVO Patron können externe Ressourcen wie z.B. Google Fonts auf dem eigenen Server gecacht werden. Es beihnhaltet noch weitere Features wie das kürzen von Kommentar-IPs und eine Lösung für YouTube-Videos.

Links zum Thema:

Fazit:

Mit der Datenschutzgrundverordnung möchte die EU die persönlichen Daten von uns allen besser schützen. Im Prinzip eine gute Sache. Leider ist die praktische Umsetzung für Nicht-Juristen nicht ganz so einfach. Auch bei mir sind noch einige Fragen offen. Trotzdem hoffe ich, dass Dir meine unvollständige Checkliste etwas weiterhelfen konnte.

Wie hat Dir dieser Beitrag gefallen? 1 Star2 Stars3 Stars4 Stars5 Stars (140 Bewertungen, Ø: 4,78 von 5)
Loading...