Eine eigene Webseite darf heute bei keinem Unternehmen mehr fehlen. Aber auch immer mehr Privatpersonen entscheiden sich für einen eigenen Internetauftritt. Für die Erstellung der Webseite wird das Inhaltsverwaltungssystem WordPress weltweit am häufigsten verwendet. Am 25. Mai 2018 tritt jedoch die neue Datenschutzverordnung in Kraft. Hier müssen Webmaster einiges beachten, da es ansonsten zu empfindlichen Abstrafungen kommen kann. Im Folgenden geht es um die wichtigsten Themen der DSGVO für WordPress und andere Webseiten.
Die Informationen in diesem Beitrag habe ich mit größter Sorgfalt recherchiert. Ich übernehme dennoch keine Haftung für Richtigkeit, Vollständigkeit und Aktualität der Informationen. Diese sind allgemeiner Art und stellen keine Rechtsberatung dar.
Was ist die DSGVO?
Die DSGVO oder Datenschutzgrundverordnung ist eine neue Richtlinie der europäischen Union, welche am 25 Mai 2018 für alle Mitgliedsländer in Kraft trat. Auch Webseiten und Unternehmen aus Ländern außerhalb der EU, welche sich mit ihrem Angebot an Kunden und Nutzer innerhalb der EU wenden, müssen die Vorgaben der DSGVO umsetzen.
Die Datenschutzgrundverordnung regelt seit diesem Zeitpunkt einheitlich den Datenschutz und den Umgang mit vertraulichen und personenbezogenen Daten. Vor allem für Unternehmen ist die DSGVO ein wichtiges Thema, da ab dem 25 Mai 2018 im Falle von Verstößen empfindliche Abmahnungen in Höhe bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr drohen. Aber auch private Webseitenbetreiber wie Blogger oder Hobbyfotografen, die mit Ihrer Webseite kein Geld verdienen, müssen gewisse Anforderungen einhalten.
Leider handelt es sich bei der DSGVO für WordPress und andere Webseiten um ein sehr komplexes und umfangreiches Thema. Es erfordert Zeit, Geduld und Fachwissen, um die eigene Webseite für die neuen Bestimmungen fit zu machen. Wir versuchen euch mit diesem Artikel einen kleinen Überblick über die wichtigsten Themen zu geben, damit ihr wisst, wo ihr anfangen könnt.
Welche Vorgaben bringt die DSGVO für WordPress Webseiten mit sich?
Die Datenschutzerklärung
Um den Vorgaben der DSGVO zu genügen, sollte jede Webseite über eine Datenschutzerklärung und ein Impressum verfügen. Wichtig ist außerdem, dass diese leicht auf der Webseite zu finden sind – z.B. im Header oder Footer verlinkt – und nicht versteckt werden. Falls du schon vor der DSGVO eine Datenschutzerklärung hattest, kann es sein, dass diese für die DSGVO nicht mehr ausreicht und aktualisiert werden muss. Um sicherzustellen, dass deine Datenschutzerklärung vollständig ist, solltest sie im Zweifelsfall von deinem Anwalt erstellen lassen. Entsprechende Angebote können unter anderem auch bei e-Recht24 oder bei der IT-Recht-Kanzlei gebucht werden. Eine weitere Möglichkeit wäre die Nutzung eines Datenschutzgenerators wie dem von Christian Solmecke. Hierbei bist du trotzdem selber dafür verantwortlich, sicherzustellen, dass du alles notwendige wie z.B. die Absätze zu Google Analytics und anderen Plugins eingefügt hast.
Ein Tipp: Das Plugin „EU Cookie Law“ hilft dir dabei, den geforderten Hinweis auf die Speicherung von Cookies für deine Webseite zu erstellen. In diesem Hinweis sollte ebenfalls auf deine Datenschutzerklärung verlinkt werden.
Bezüglich deiner Datenschutzerklärung solltest du auch die von dir verwendeten Plugins und Erweiterungen untersuchen. Einige Erweiterungen wie WooCommerce, MailPoet und GravityForms speichern ganz automatisch Nutzerdaten, wie z.B. IP Adressen. Diese müssen dann in deiner Datenschutzerklärung Erwähnung finden. Das gleiche gilt für Social Media Buttons, die Newslettermaske und natürlich Cookies. Falls du nicht sicher bist, ob bestimmte Plugins o.ä. mit den Anforderungen der DSGVO zu vereinbaren sind, lasse dies im Zweifelsfall besser durch einen Anwalt prüfen oder verwende ein anderes Plugin, bei dem du sicher bist.
Wie bereits oben erwähnt, müssen auch Firmen außerhalb der EU die DSGVO einhalten, wenn sie sich mit ihrem Angebot an Kunden innerhalb der EU richten. Mit diesem Privacy Shield Verzeichnis kannst du überprüfen, welche dieser Firmen sich dazu verpflichtet haben, die DSGVO einzuhalten.
Updates und Passwörter - Thema Sicherheit
Nicht erst seit der DSGVO ist Sicherheit für Webseitenbetreibende ein wichtiges Thema. Regelmäßige Updates und Sicherungen von WordPress, sowie möglichst sichere Passwörter sind unbedingt nötig, um deine Webseite vor Hackerangriffen zu schützen. Wird deine Webseite gehacked und hast du auf dieser Seite Kundendaten gespeichert, die durch das Hacking gestohlen werden könnten, kann dies zu einem datenschutzrechtlichen Problem werden. Tu daher möglichst alles, um dies zu verhindern. Wenn du eine Webseite betreibst, auf der sich User registrieren und z.B. Kundenkonten erstellen könnten, solltest du durch die Vorgabe von Mindeststandards dafür sorgen, dass auch sie nicht zu unsichere Passwörter wählen.
Newsletter
Newsletter sind ein guter Weg, um mit (potentiellen) Kunden oder Leserinnen in Kontakt zu bleiben und sie regelmäßig über Neuigkeiten wie Blogbeiträge, neue Workshops, Rabattaktionen oder was auch immer es ist, was du auf deiner Webseite anbietest, zu informieren. Dafür musst du jedoch die E-Mail Adressen deiner User sammeln – und dazu gibt es in Punkto Datenschutz einiges zu beachten. Du musst sicherstellen, dass du dir für die Zustellung deines Newsletters eine eindeutige Einwilligung holst, dafür sollte das Double-Opt-in Verfahren genutzt werden. Trägt sich eine Person für deinen Newsletter ein, erhält sie dann zunächst eine E-Mail mit einem Link, auf den sie klicken muss um zu bestätigen, dass sie den Newsletter wirklich abonnieren will. Damit kann man verhindern, dass E-Mail Adressen von anderen Personen in Newsletterverteiler eingetragen werden, die Person, welcher die Adresse gehört, sie aber eigentlich gar nicht haben will. Es muss außerdem jederzeit die Möglichkeit gegeben sein, sich wieder vom Newsletter abzumelden.
Ob das Formular zur Newsletteranmeldung um ein Häkchen ergänzt werden muss, welches bei der Anmeldung angeklickt werden und mit einer Beschreibung wie „Ich stimme hiermit der Verarbeitung meiner Daten zu…“ beschriftet werden muss, ist nach meinen Informationen noch nicht eindeutig geklärt. Manche Anwälte empfehlen dies, andere halten es nicht für unbedingt notwendig, bitte informiere dich hier weitergehend und treffe die Entscheidung für oder gegen so einen Haken ggf. nach Absprache mit deinem Anwalt. Selbiges gilt für die Verknüpfung eines Newsletterabos an ein „Geschenk“ wie z.B. ein kostenloses E-Book, ein Gewinnspiel oder einen Rabattgutschein. Auch hierzu habe ich unterschiedliche Auslegungen des Gesetzes durch verschiedene Anwälte gefunden.
Du solltest dem User vor dessen Anmeldung zu deinem Newsletter bereits eine grobe Übersicht darüber geben, welche Inhalte im Newsletter behandelt werden, wie häufig er etwa erscheinen wird, welches Newsletterprogramm/-plugin du verwendest usw. Weitere Infos zum Thema DSGVO und Newsletter findest du hier.
Der Datenschutzbeauftragte
Die meisten privaten Webseitenbetreiber werden wahrscheinlich keinen Datenschutzbeauftragten benötigen, für Unternehmen oder Vereine sieht dies jedoch unter Umständen anders aus.
In Unternehmen, in denen nicht mehr als neun Mitarbeiter mit den persönlichen Daten in Verbindung kommen, wird in der Regel kein Datenschutzbeauftragter benötigt. Diese neun Mitarbeiter beinhalten alle Menschen, die Kontakt zu den Kundendaten haben. Dabei ist es egal, ob der Zugriff nur gelegentlich oder regelmäßig erfolgt. Auch ist es unerheblich, ob es sich um einen festen Mitarbeiter, einen Freelancer oder zum Beispiel um einen Praktikanten handelt. Eine Ausnahme gibt es außerdem für die Verarbeitung solcher Daten, die als besonders vertrauenswürdig und schützenswert eingestuft werden. Beispiele hierfür sind Daten zur Religion, zur ethnischen Herkunft etc. Ist dies der Fall und ist die Verarbeitung solcher Daten eine Kerntätigkeit des Unternehmens, ist ein Datenschutzbeauftragter notwendig, auch wenn das Unternehmen kleiner ist. Dies wäre z.B. bei Arztpraxen denkbar. Auch wenn solche Daten nicht erfasst werden, es jedoch Kerntätigkeit des Unternehmens ist, Personen regelmäßig und systematisch zu überwachen, ist ein Datenschutzbeauftragter notwendig. Bei Unsicherheiten, was beim eigenen Unternehmen oder Verein der Fall ist, ist es ratsam, die Einschätzung durch einen spezialisierten Anwalt überprüfen zu lassen. Weitere Informationen zu diesem und anderen Themen der DSGVO findest du z.B. in dieser Broschüre.
Das Verzeichnis für Verarbeitungstätigkeiten
Mit dem Inkrafttreten der Datenschutzgrundverordnung muss auch ein Verzeichnis für Verarbeitungstätigkeiten angeleget werden. Die DSGVO macht zwischen WordPress, anderen Webseiten und der externen Datenerhebung keine Unterschiede. Bei der Liste der Verarbeitungstätigkeiten handelt es sich um eine einfache Tabelle, in der notiert wird, wann welche Daten zu welchem Zweck erhoben wurden. Das sind etwa Telefonnummer, Adresse, etc. der Kunden aber auch interne Daten der Mitarbeiter, zum Beispiel aus der Lohnbuchhaltung, die ebenfalls von dem Unternehmen erhoben werden
Vor allem in größeren Betrieben und für größere Webseiten empfiehlt die DSGVO für den WordPress Internetauftritt wie auch für die Datenerhebung außerhalb des Webs einen speziellen Projektbeauftragten zu benennen. Dieser kann dann Mitarbeiter, Kunden, Zulieferer, etc. nach den im Rahmen der Datenschutzgrundverordnung erhobenen Daten befragen.
Das Verzeichnis von Verarbeitungstätigkeiten muss nicht öffentlich und für alle einsehbar sein, du musst es den entsprechenden Behörden auf Wunsch aber jederzeit vorlegen können.
Wichtig ist auch, dass du in deiner öffentlich einsehbaren Datenschutzerklärung benennst, welche Daten (z.B. IP-Adressen) durch einen Besuch auf deiner Webseite erfasst und wie sie gespeichert und verarbeitet werden und innerhalb welcher Frist sie wieder gelöscht werden.
ADV - Der Auftragsdatenverarbeitungs-Vertrag
Nutzt du Dienste wie Google Analytics, kann es notwendig sein, dass du mit diesen Unternehmen einen Auftragsdatenverarbeitungsvertrag abschließen musst – weil diese Anbieter in deinem Auftrag Daten verarbeiten. Dazu gehören außer Google z.B. Webhoster oder Newsletter-Dienstleister. Weitere Informationen zum Thema ADV findest du bei BlogMojo oder auf Datenschutzbeauftragter-Info.
Google Analytics
Wo wir gerade beim Thema Google Analytics sind – hierzu noch ein paar weitergehende Worte:
Verwendest du diesen Dienst, solltest du beachten, dass seit dem Inkrafttreten der DSGVO darauf geachtet werden muss, dass die IP-Adresse deiner Besucher jetzt nur noch gekürzt und anonymisiert verarbeitet werden darf. Gleichzeitig muss dem Webseitenbesucher eine Opt-Out Funktion angeboten werden, mit welcher dieser mit einer Browser Erweiterung die Erfassung seiner Besucherdaten komplett ablehnen kann.
Dieses Snippet kannst du bei Bedarf kopieren und in deine Webseite einfügen. Wenn du ein modernes Theme hast, musst du den Code nicht mal in den Quelltext des Headers einfügen sondern kannst ihn ganz bequem im dafür vorgesehenen Feld in den Theme Einstellungen einfügen. Du musst dann noch deine persönliche ID von Google Analytics in das Snippet einfügen (dort, wo jetzt ‚UA-123456-1‘ steht).
<"Dieser Text muss vor dem einfügen inklusive "" entfernt werden"script>
var gaProperty = ‚UA-123456-1‘;
var disableStr = ‚ga-disable-‚ + gaProperty;
if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) {
window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + ‚=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/‘;
window[disableStr] = true;
alert(‚Das Tracking ist jetzt deaktiviert‘);
}
(function(i,s,o,g,r,a,m){i[‚GoogleAnalyticsObject‘]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script‘,’https://www.google-analytics.com/analytics.js‘,’ga‘);
ga(‚create‘, ‚UA-123456-1‘, ‚auto‘);
ga(’set‘, ‚anonymizeIp‘, true);
ga(’send‘, ‚pageview‘);
<"Dieser Text muss vor dem einfügen inklusive "" entfernt werden"/script>
DSGVO für WordPress und andere Webseiten - Datenschutz-Folgeabschätzung
Wird mit besonders vertraulichen oder sensiblen Daten, wie zum Beispiel mit Gesundheitsinformationen oder sehr persönlichen Daten gearbeitet, müssen Unternehmen laut Datenschutzgrundverordnung ggf. eine Datenschutz-Folgeabschätzung vornehmen. Dies wird von der DSGVO sowohl für Webseiten als auch für die Datenverarbeitung offline vorgeschrieben.
Das Ziel der Abschätzung ist es, das Risiko für die Daten und für den Betroffenen abzuschätzen und ggf. Maßnahmen zu ergreifen, um diese sensiblen Daten vor unbefugtem Zugriff und Missbrauch zu schützen. Dabei werden zum Beispiel die Vorgänge beschrieben und analysiert, die für die Erhebung der Daten angewendet werden. Außerdem wird erhoben, warum welche Daten erhoben werden und ob die Speicherung dieser Informationen auch wirklich notwendig ist. Auch das Risiko für den Kunden, das durch die Erhebung der persönlichen Informationen entsteht, muss klar analysiert und mit dem Nutzen abgewägt werden.
Darüber hinaus müssen zahlreiche Dinge dokumentiert und überprüft werden, die sich mit Problemen befassen. So fordert die DSGVO für WordPress und andere Webseiten zum Beispiel, dass die Mechanismen und Maßnahmen geprüft werden, die im Falle eines Leaks greifen, um den Schaden so gering wie möglich zu halten. Außerdem muss dokumentiert und analysiert werden, wie die Daten nach der Datenschutzgrundverordnung vor unbefugtem Zugriff geschützt werden, wie technisch und manuell gegen Missbrauch vorgegangen wird und welche Schutzvorkehrungen es im Unternehmen (zum Beispiel für den Server) gibt, um die Daten zu schützen.
Es lässt sich nicht pauschal beurteilen, welche Webseitenbetreiber eine DSFA brauchen und welche nicht. Dabei kommt es u.a. auf Art und Menge der verarbeiteten Daten an und darauf, welche Risiken konkret bestehen. Weitere Informationen zu diesem Thema findest du z.B. hier. Es könnte außerdem empfehlenswert sein, dieses Thema mit deinem Anwalt zu besprechen.
Weitere Tipps und Hinweise
- Willst du überprüfen, welche externen Inhalte deine Webseite im Browser lädt, kannst du z.B. über Google Chrome mit einem Rechtsklick auf Untersuchen klicken, dadurch öffnet sich die sogenannte Entwicklerleiste. Mit einem Klick auf „Sources“ werden externe Inhalte, die bei beim Besucher deiner Webseite aufgerufen werden, angezeigt. Diese Ansicht ist jedoch nur ein erster Hinweis auf die externe Speicherung von Daten und daher nicht ausreichend. Auch für Benutzer unsichtbar (im Backend) können Daten erfasst werden. Einen sehr hilfreichen Check zu WordPress Plugins im Bezug auf ihre DSGVO Kompatibilität findest du hier.
- Manche Plugins leiten die Daten von Kunden an Server außerhalb der EU weiter – diese solltest du im Zweifelsfall eher nicht mehr verwenden, so lange nicht eindeutig sichergestellt werden kann, dass diese Anbieter die DSGVO umsetzen. Dazu zählen etwa JetPack, MailChimp, Akismet und iThemes Security.
- Richte spätestens jetzt eine SSL Verschlüsselung ein, sonst ist die Übertragung von personenbezogenen Daten der User/Kunden an deine Webseite nicht gesichert.
- Stellst du deinen Webseite deinen Kunden in verschiedenen Sprachversionen zur Verfügung, muss auch für jede dieser Versionen eine vollständige und korrekt übersetzte Datenschutzerklärung vorliegen. Ich persönlich würde mich dafür nicht auf automatische Übersetzungen wie Google Translate verlassen.
- Zum Thema Facebook Like Button und DSGVO habe ich hier weitere Infos zusammengetragen.
- Im Moment ist es umstritten, ob es mit der DSGVO vereinbar ist, eine Map von Google (z.B. als Routenbeschreibung) auf der eigenen Webseite einzubinden. Google arbeitet momentan wohl an einer DSGVO-konformen Umsetzung von Maps, bisher wurden durch solche Maps jedoch Cookies auf den Rechnern der Webseitenbesucher gespeichert. Diese Cookies haben danach auch die Werbeanzeigen, die der User bei einer Google Suche zu Gesicht bekam, beeinflusst. Bis die Lage hier eindeutig geklärt ist, solltest du genau prüfen, ob du weiterhin eine Map auf deiner Webseite einbinden oder so lange lieber darauf verzichten willst. Gleiches gilt für Google Fonts (Schriftarten).
- Möchtest du Youtube Videos auf deiner Webseite einbinden, gibt es dafür seit dem Inkrafttreten der DSGVO eine neue Regelung. Bisher wurden Youtube Videos oft so eingebunden, dass Youtube bzw. Google dadurch Cookies im Browser der Webseitenbesucher gespeichert haben. Dies ist aus datenschutzrechtlicher Sicht schwierig. Achte darauf, ab sofort beim Einbetten von Youtube Videos den „Erweiterten Datenschutzmodus“ zu aktivieren. Siehe Screenshot:
DSGVO für WordPress - professionelle Hilfe und Beratung
Die DSGVO ist ein komplexes Thema, welches viele Anwälte beschäftigt und einiges an Fachwissen erfordert. Aus diesem Grund ist es unter Umständen sinnvoll, das Thema DSGVO auf deiner Webseite von einem Fachanwalt umsetzen zu lassen.
Gerne bin ich dir bei der technischen Umsetzung der notwendigen Anpassungen behilflich. Ich versuche deine Fragen rund um das Thema technische Umsetzung der DSGVO für Webseitenbetreiber beantworten. Ich helfe Dir bei der Anpassung von Deiner Webseite.
Meine Informationen zum Thema DSGVO sind allgemeiner bzw. technischer Art und stellen keine Rechtsberatung dar und erheben auch keinerlei Anspruch auf Vollständigkeit!
Setze dich in diesem Fall einfach über das Kontaktformular oder auch via Email und Telefon mit mir in Verbindung. Darüber hinaus bin ich dir auch gerne bei der Installation von WordPress oder beim Umzug deiner Webseite behilflich. Ich würde mich freuen, von dir zu hören. Gemeinsam schauen wir, dass die DSGVO Verordnungen, welche für deine Webseite relevant sind, technisch umgesetzt werden. Selbstverständlich ist es derzeit für alle Webseitenbetreiber ein wichtiges Anliegen, auf der sicheren Seite zu sein und Probleme wie teure Abmahnungen oder Beschwerden von Kunden zu vermeiden. Wir haben uns dafür umfangreich mit der Datenschutzgrundverordnung für Webseitenbetreiber auseinandergesetzt und bieten unseren Kunden die technische Umsetzung der gegebenen Vorschriften der DSGVO für eine WordPress Webseite an.
Solltest du andere Fragen rund um das Thema WordPress haben, dann findest Du auf meiner Webseite darüber hinaus ein umfangreiches Angebot an Video Tutorials zu allen wichtigen Themen. Auch hier lohnt es sich auf jeden Fall, einmal einen Blick hereinzuwerfen.