WordPress & die DSGVO: Wichtige Maßnahmen
Viele nutzen für ihre Website WordPress, denn es ist vielseitig einsetzbar und läuft stabil. Um WordPress aber DSGVO-konform zu halten, […]
16. November 2018
Viele nutzen für ihre Website WordPress, denn es ist vielseitig einsetzbar und läuft stabil. Um WordPress aber DSGVO-konform zu halten, bedarf es ein paar Anpassungen und Änderungen. WordPress selbst hat da schon reagiert bevor die DSGVO verbindlich wurde, aber auch als Seitenbetreiber muss man einiges beachten. Das Thema DSGVO ist Dir bestimmt schon über den Weg gelaufen. Die letzten Monate kam man ja als Websitebetreiber kaum drum herum, aber falls Dir das Thema noch nicht so geläufig ist, kommt hier ein kleiner Überblick. Bei weiteren Fragen stehen wir Dir natürlich gerne zur Verfügung. Aber jetzt mal von vorne.
Wichtig: Dieser Blogbeitrag ist keine Rechtsberatung und soll eine solche nicht ersetzen. Ich bin weder Jurist noch Datenschutzexperte. Dieser Beitrag soll lediglich allgemeine Informationen liefern und veranschaulichen, dass es umfangreichen Regelungsbedarf gibt. Ich kann für Vollständigkeit, Aktualität und Richtigkeit der hier angebotenen Informationen keine Haftung übernehmen. Das Anwenden dieser Informationen erfolgt ausdrücklich auf eigene Gefahr. Stand 09.11.2018
Die DSGVO ist die Datenschutz-Grundverordnung für die Verarbeitung von personenbezogenen Daten. Seit dem 25.5.2018 regelt die Verordnung den Umgang mit den Daten verbindlich für alle Europäischen Mitgliedsstaaten. Ein Verstoß kann mit hohen Geldbußen geahndet werden, daher ist es wichtig, sich genau darüber zu informieren, welche Pflichten man als Websitebetreiber ab jetzt hat und wie man seine Website ordentlich auf den aktuellen Stand bringt. Teile der Verordnung waren schon vorher verpflichtend, aber die DGSVO hat alles noch etwas konkreter und verbindlicher festgelegt seit Ende Mai. Die DGSVO wird aber sicherlich noch weiter angepasst und in der Zukunft verschärft werden, da Teile noch etwas unklar formuliert sind.
Betroffen ist jeder, der personenbezogene Daten über die Website erhebt. Daher ist es völlig egal ob Du das gewerblich tust, im Rahmen eines Onlineshops zum Beispiel oder privat als Blogger, der gerne Rezepte teilt und Kommentare auf seinem Blog zulässt. Personenbezogene Daten sind zum Beispiel Name, Anschrift, E-Mail-Adresse, aber auch IP-Adressen, die automatisch gespeichert werden, wenn jemand Deine Website besucht. Du siehst im Grunde betrifft die Verordnung alle, die mit einer Website online vertreten sind und auf die eine oder andere Weise Daten erheben, sei es durch Kontaktformulare oder Analyse-Tools wie Google Analytics, um nur zwei Dinge zu nennen.
Die Datenschutz-Grundverordnung wurde erstellt, damit der einzelne Verbraucher mehr Kontrolle über seine eigenen Daten bekommt. Er bekommt mehr Möglichkeiten, der Erhebung seiner Daten zu widersprechen und bekommt mehr Zugriff auf Informationen wann und wie seine Daten erhoben werden. Der Betreiber einer Website oder eines Onlineshops wird mehr in die Pflicht genommen und muss mit den Daten auf eine bestimmte Weise umgehen.
So braucht er zunächst die Erlaubnis der Person, deren Daten er erheben möchte. Er muss darauf achten, dass er nur Daten erhebt, die er wirklich benötigt und nicht nach Gießkannenprinzip einfach alle möglichen Informationen fordert. Die Daten müssen sicher aufbewahrt werden und es muss alles sauber dokumentiert werden. Ist zum Beispiel ein Einverständnis da für den Newsletter? Hat der Kunde der Erhebung seiner Daten zugestimmt, als er im Shop bestellt hat und einiges mehr.
Kurz gesagt, der Kunde muss zu jedem Zeitpunkt erfahren, was mit seinen Daten geschieht, wo sie aufbewahrt werden und er muss die Möglichkeit haben, seine Daten löschen zu lassen. Du musst über all das Auskunft geben können und Du darfst die Daten nur so lange speichern wie es wirklich nötig ist. Der Kunde muss vor der Übertragung seiner Daten informiert sein.
Newsletter zum Beispiel dürfen nur nach einem Double-Opt-In verschickt werden. Das heißt er muss zweimal zustimmen, dass er wirklich werblichen Inhalt in Form von einem Newsletter bekommen möchte. Zum einen muss er zustimmen, dass seine Daten an Dich übertragen werden und im zweiten Schritt muss er seine E-Mail-Adresse bestätigen und damit verbindlich die Freigabe geben, dass die Daten korrekt sind und er wirklich den Newsletter erhalten möchte. Spambots haben dann keine Chance, einfach Deine E-Mail-Adresse überall einzutragen, weil Du eine E-Mail bekommst mit einem Bestätigungslink. Moderne Newsletter-Provider speichern dann nicht automatisch Deine Daten, wenn Du die Adresse nicht bestätigst und Du erhältst keinen unerwünschten Newsletter.
Dann musst Du hier besonders achtsam sein und einiges zügig überprüfen, um mögliche Bußgelder zu vermeiden. WordPress hat wie schon erwähnt, vor dem Inkrafttreten der DSGVO eine neue Version mit Funktionen speziell für den Datenschutz veröffentlicht, aber auch die Plugins dürfen nicht vergessen werden. Je nachdem wie Deine WordPress Website aufgebaut ist, wirst Du sicherlich einige Plugins nutzen. Vielleicht sind manche nicht mehr DSGVO-konform und müssen ausgetauscht oder aktualisiert werden.
Um Dir den Überblick zu erleichtern, haben wir Dir hier ein paar der wichtigsten Maßnahmen zusammengestellt. Einige Dinge galten schon vor dem 25.5.2018, wurden aber oft nur teilweise oder gar nicht umgesetzt. Die Verordnung ist zwar hier und da in der Formulierung noch etwas unklar und man kann manche Passage durchaus in mehreren Varianten auslegen, aber die folgenden 8 Punkte sind unserer Meinung nach besonders wichtig.
Die Verschlüsselung der erhobenen Daten ist einer der Eckpfeiler des sicheren Umgangs mit personenbezogenen Daten. Wenn Du Kontaktformulare nutzt oder man sich auf Deiner WordPress Website anmelden kann, so müssen die eingegeben Daten sicher übertragen werden. Das geschieht zum Beispiel via SSL-Verschlüsselung. Du bekommst ein entsprechendes Zertifikat bei Deinem Webhoster meist schon für kleines Geld. Ist das Zertifikat installiert, werden alle Daten, die erhoben werden verschlüsselt und können sicher übertragen werden.
Du musst immer darauf achten, dass Du Deine WordPress Website mit samt den Plugins aktuell hältst. Regelmäßige Updates und Überprüfungen auf DSGVO-Konformität sind daher ein Muss. Setz Dir einen Termin in den Kalender oder eine Erinnerung in Dein Handy, damit Du das nicht vergisst. Updates schließen meist vorhandene Sicherheitslücken, daher ist es sehr wichtig, diese auch zu machen. So minimierst Du das Risiko, dass Deine Website angegriffen werden kann und Daten gestohlen werden.
Jede Website braucht eine Datenschutzerklärung, in der genau festgehalten wird, was mit den Daten des Besuchers oder Kunden geschieht und wie sie erhoben werden. Sie muss gut auffindbar sein und verständlich und übersichtlich formuliert sein. Auch hier gilt, dass diese Erklärung regelmäßig einer Überprüfung unterzogen werden muss. Du musst zum Beispiel angeben, ob bestimmte Plugins Daten erheben und warum. Nutzt Du irgendwann mal neue oder fallen alte Weg, so muss auch die Erklärung angepasst werden.
Jedes Deiner benutzten Plugins muss darauf überprüft werden, ob es Daten an fremde Server überträgt. Social Media Plugins zum Beispiel stellen in der Regel eine automatische Verbindung zu den Servern von Facebook und Co her. Sie sammeln dabei quasi unbemerkt Daten über den Besucher. Das ist seit der DSGVO nicht mehr erlaubt. Solche Plugins sollten durch eine sogenannte Shariff-Lösung eingebunden werden. Bisher gilt das als sicherste Alternative, da so nicht automatisch ohne Einwilligung des Besuchers personenbezogene Daten übertragen werden. Eine gute Auflistung, welche DSGVO-problematische WordPress Plugins aufzeigt, findet ihr auf blogmojo.de.
Die Datenverschlüsselung bei der Übertragung haben wir ja bereits zu Anfang erwähnt, aber bei Kontaktformularen jeglicher Art empfiehlt es sich, noch ein paar Kleinigkeiten anzupassen. Der Besucher muss per Checkbox der Übertragung seiner Daten zustimmen und mindestens auf die Datenschutzerklärung hingewiesen werden. Noch besser ist es, kurz zu erwähnen, wie die Daten des Absenders verwendet werden, um auf der sicheren Seite zu sein. So kann der Absender entscheiden, ob er die Daten nun wirklich übertragen will oder lieber doch nicht.
WordPress speichert standardmäßig in der Datenbank die IP-Adressen der Personen, die Kommentare auf Deiner Website hinterlassen. Du kannst mit verschiedenen Plugins aber einstellen, dass der Kommentator sein Einverständnis geben muss, bevor er ein Kommentar abschicken kann, oder seine IP-Adresse wird durch einen kleinen Schnipsel Code gleich gar nicht erfasst. Je nach Plugin kann man auch einstellen, dass IP-Adressen in regelmäßigen Abständen automatisch aus der Datenbank gelöscht werden. Dasselbe gilt zum Beispiel für Google Analytics. Um Google Analytics DSGVO-konform zu nutzen, musst Du einstellen, dass die IP-Adressen anonymisiert werden, denn auch IP-Adressen gelten als personenbezogene Daten und sind laut Verordnung geschützt.
Cookies sind eine Sache für sich und man muss wirklich deren Einsatz eingrenzen, um nicht gegen die Verordnung zu verstoßen. Es ist ratsam, nur solche Cookies zu setzen, die für den Betrieb der Website notwendig sind bzw. für die Du ein berechtigtes Interesse glaubhaft vertreten kannst - wie zum Beispiel zum Speichern des Warenkorb-Inhalts oder für Mitgliederbereiche. Empfehlenswert ist zudem, dass Du ein Cookie-Banner anzeigen lässt, das über den Einsatz der Cookies informiert und dem Besucher eine Möglichkeit gibt, dem Setzen der Cookies zu widersprechen (nach aktueller Rechtslage genau genommen noch bevor irgendein Cookie gesetzt wird). In Deiner Datenschutzerklärung muss auch genau erklärt werden, für was die Cookies sind und wofür sie auf Deiner Website eingesetzt werden.
Werden die erhobenen Daten durch einen anderen Anbieter verarbeitet, musst Du mit diesem einen AV-Vertrag abschließen. Das gilt zum Beispiel für Provider, Deinen Newsletteranbieter oder Großkonzerne wie Google, wenn Du zum Beispiel Google Analytics nutzt. Aber auch für Dienstleister, welche alleine die Möglichkeit des Zugriffs auf personenbezogene Daten haben, wie etwa Dein Webdesigner, gilt diese Regelung. Du bist darüber hinaus verpflichtet zu dokumentieren, wie und zu welchem Zweck Du Daten erhebst und speicherst. Auf Anfrage musst Du diese Informationen parat haben und nachvollziehbar darstellen können, was gespeichert wird und zu welchem Zweck die Daten verarbeitet werden. Über ein Verzeichnis der Verarbeitungstätigkeiten kannst Du diese Informationen gesammelt und sortiert darstellen. Neben einer Rechtsberatung durch einen Fachanwalt gibt es online auch diverse kostenlose Vorlagen, mit denen Du solch ein Verzeichnis theoretisch erstellen könntest. Die AV-Verträge müssen auch sicher gespeichert werden und auf Anfrage vorgelegt werden können.
Dies ist keine abschließende Liste, sondern soll lediglich mögliche Stolpersteine in Sachen DSGVO aufzeigen. Im Einzelfall muss jede Website natürlich einzeln geprüft werden. Wir helfen dir gerne bei der Aktualisierung Deiner Website, damit diese den DSGVO Vorgaben entspricht. Wir übernehmen etwa die Umsetzung aller Maßnahmen, welche beispielsweise von Deinem Fachanwalt oder Datenschutzbeauftragen vorgegeben werden. Somit kannst Du Sorge dafür tragen, das Deine WordPress Website auf dem aktuellen Stand ist und Du minimierst somit das Risiko teurer Abmahnungen oder gar hohe Bußgelder. Du kannst gerne einen Termin in unserer Agentur buchen und wir besprechen die Details bei einem leckeren Kaffee ganz unverbindlich mit Dir. Wir sind eine Agentur mit langjähriger Erfahrung im Bereich WordPress, Webdesign und Marketing und können Dich vielseitig beraten und unterstützen. Wir freuen uns auf Deine Nachricht!
Sebastian Lochbronner
86830 Schwabmünchen
Deutschland