Du fragst Dich, was es mit der DSGVO auf sich hat und ob das auch Deine Website betrifft? Kurz gesagt: Die Datenschutz-Grundverordnung (DSGVO) der EU verlangt von Unternehmen, personenbezogene Daten besser zu schützen. Das bedeutet mehr Dokumentationspflicht und klare Vorgaben für Webseitenbetreiber, insbesondere bei Formularen, Cookies und Tracking-Tools. Hier erfährst Du, welche Maßnahmen für WordPress-Seiten nötig sind, um teure Abmahnungen und Bußgelder zu vermeiden – von Impressum bis SSL-Verschlüsselung.
Inhaltsverzeichnis:
Was ist die DSGVO und wen betrifft sie?
Ich will gar nicht die gefühlt millionste Erklärung zur DSGVO bringen. Daher nur kurz: Die DSGVO wurde von der EU beschlossen und betrifft alle Unternehmen, die in der EU Geschäfte machen und/oder personenbezogene Daten verarbeiten, direkt bezüglich Vorgaben und Richtlinien im Bereich Datenschutz. Die EU zog damals die Schrauben an und gibt vor, dass Unternehmen personenbezogene Daten deutlich besser schützen sollen, weniger Daten erheben dürfen und deutlicher auf die Erhebung von Daten hinweisen müssen.
Die Dokumentationspflicht ist enorm. Die Anforderungen an Webseiten und Marketingaktionen sind das ebenso. Vieles darf nicht mehr passieren, was in der Vergangenheit noch durchgegangen ist. Und die Strafen bei Nichteinhaltung sind empfindlich hoch angesetzt. So viel zur ultraknappen Theorie, wieso es die DSGVO überhaupt gibt.
Wer sich genauer zur DSGVO informieren will, der schaut zum Beispiel hier vorbei.
Und wer sich über generelle rechtliche Anforderungen für Websites informieren will, dem sei dieser Artikel von mir ans Herz gelegt.
Hier ist eine Übersicht der wichtigsten Anforderungen an Website-Betreiber durch die DSGVO (Datenschutz-Grundverordnung):
1. Datenschutzerklärung
- Transparente Information: Klare und verständliche Information der Nutzer über Art, Umfang und Zweck der Datenerhebung.
- Pflichtangaben: Kontaktdaten des Verantwortlichen, Rechtsgrundlage der Datenverarbeitung, Speicherdauer, Betroffenenrechte (z.B. Auskunftsrecht, Löschrecht).
- Aktualität: Die Datenschutzerklärung muss regelmäßig aktualisiert werden, wenn sich Prozesse oder Rechtsgrundlagen ändern.
2. Einwilligung zur Datenverarbeitung (Opt-in)
- Cookie-Banner: Vor der Speicherung von Cookies (nicht-essentielle Cookies, z.B. Tracking-Cookies) muss eine aktive Einwilligung eingeholt werden.
- Protokollierung der Einwilligung: Die Zustimmung der Nutzer muss dokumentiert und nachweisbar sein.
- Widerrufsmöglichkeit: Nutzer müssen ihre Einwilligung jederzeit widerrufen können.
3. Verzeichnis der Verarbeitungstätigkeiten
- Dokumentationspflicht: Jede Verarbeitung personenbezogener Daten muss dokumentiert werden, einschließlich Zweck, Art der Daten und der Empfänger.
4. Vertrag zur Auftragsverarbeitung (AV-Vertrag)
- Externe Dienstleister: Bei Nutzung von Dienstleistern (z.B. Webhoster, Analyse-Tools) muss ein AV-Vertrag abgeschlossen werden, der den Datenschutz sicherstellt.
5. Sicherstellung der Datensicherheit
- Technische und organisatorische Maßnahmen: Schutz der Daten durch Verschlüsselung, Zugangskontrollen, Backups usw.
- Meldung von Datenpannen: Bei einer Verletzung des Datenschutzes müssen die Behörden innerhalb von 72 Stunden informiert werden.
6. Recht auf Auskunft, Löschung und Datenportabilität
- Auskunftsrecht: Nutzer haben das Recht zu erfahren, welche Daten über sie gespeichert wurden.
- Löschrecht (Recht auf Vergessenwerden): Nutzer können verlangen, dass ihre Daten gelöscht werden.
- Datenportabilität: Nutzer haben das Recht, ihre Daten in einem maschinenlesbaren Format zu erhalten und an einen anderen Anbieter zu übertragen.
7. Minderjährigenschutz
- Besondere Einwilligung: Für die Verarbeitung personenbezogener Daten von Kindern unter 16 Jahren ist die Zustimmung der Eltern erforderlich.
8. Privacy by Design und Privacy by Default
- Datenschutz durch Technikgestaltung: Schon bei der Entwicklung der Website müssen Datenschutzprinzipien berücksichtigt werden.
- Datenschutzfreundliche Voreinstellungen: Standardmäßig sollen möglichst wenige personenbezogene Daten erhoben und verarbeitet werden.
9. Informationspflichten bei Kontaktformularen
- Hinweis auf Datenverarbeitung: Nutzer müssen vor dem Absenden eines Kontaktformulars darüber informiert werden, was mit ihren Daten geschieht.
- SSL-Verschlüsselung: Übertragung von personenbezogenen Daten muss verschlüsselt erfolgen (z.B. durch HTTPS).
10. Kein Tracking ohne Einwilligung
- Keine automatisierte Datensammlung: Tracking-Tools (z.B. Google Analytics) dürfen erst nach Einwilligung der Nutzer aktiviert werden.
Diese Anforderungen gelten grundsätzlich für alle Betreiber von Websites, die Daten von EU-Bürgern verarbeiten, unabhängig davon, wo das Unternehmen seinen Sitz hat.
DSGVO Checkliste für WordPress-Webseiten
Ich erkläre im Folgenden die einzelnen Checklisten-Punkte. Webseitenbetreiber, die WordPress nicht einsetzen, können sich sicher auch das eine oder andere mitnehmen. Viele Vorgaben sind systemunabhängig.
WordPress-spezifische Maßnahmen um eine Webseite DSGVO-konform zu machen
Zuerst schauen wir uns an, was konkret WordPress-Webseitenbetreiber beachten sollten, damit diese DSGVO-konform ist und nicht durch Abmahnanwälte abgestraft oder durch Behörden beanstandet werden können. Wie gesagt ohne Anspruch auf Vollständigkeit und Rechtssicherheit!
1. Impressum
Die DSGVO selbst stellt keine direkten Anforderungen an das Impressum einer Website, allerdings ergeben sich indirekt einige Verpflichtungen, die beachtet werden sollten. Diese ergeben sich aus den allgemeinen Anforderungen der DSGVO sowie aus anderen gesetzlichen Bestimmungen, insbesondere dem Telemediengesetz (TMG) und dem Medienstaatsvertrag (MStV) in Deutschland. Hier sind die wesentlichen Punkte:
Anforderungen an das Impressum unter Berücksichtigung der DSGVO
- Angaben zum Verantwortlichen für die Datenverarbeitung
- Der Website-Betreiber muss den Verantwortlichen für die Datenverarbeitung nennen.
- In der Regel ist dies der Betreiber der Website bzw. das Unternehmen, das die Website betreibt.
- Es muss eine Kontaktmöglichkeit für Anfragen zum Datenschutz angegeben werden (z.B. per E-Mail).
- Kontaktdaten des Datenschutzbeauftragten (falls erforderlich)
- Wenn das Unternehmen einen Datenschutzbeauftragten gemäß Art. 37 DSGVO benennen muss (z.B. bei umfangreicher Datenverarbeitung oder sensiblen Daten), müssen dessen Kontaktdaten im Impressum oder in der Datenschutzerklärung angegeben werden.
- Verweis auf die Datenschutzerklärung
- Das Impressum sollte einen klaren Verweis auf die Datenschutzerklärung der Website enthalten.
- Der Link zur Datenschutzerklärung muss leicht auffindbar sein, üblicherweise wird dieser im Impressum oder in der Fußzeile platziert.
- Eindeutige Identifizierung des Unternehmens
- Name und vollständige Anschrift des Unternehmens.
- Kontaktdaten, mindestens eine E-Mail-Adresse und ggf. eine Telefonnummer.
- Bei juristischen Personen (GmbH, AG): Angaben zum gesetzlichen Vertreter (z.B. Geschäftsführer).
- Informationen zu Aufsichtsbehörden
- Die Aufsichtsbehörde, bei der eine Beschwerde eingereicht werden kann, sollte in der Datenschutzerklärung angegeben werden, aber dies kann auch im Impressum erfolgen.
Was ist nicht zwingend im Impressum erforderlich?
- Eine detaillierte Beschreibung der Datenverarbeitungsprozesse gehört in die Datenschutzerklärung, nicht ins Impressum.
- Angaben zur Verarbeitung personenbezogener Daten (z.B. Cookies, Tracking) sind in der Datenschutzerklärung abzuhandeln.
Beispiele für typische Angaben im Impressum (unter Berücksichtigung der DSGVO):
- Name des Website-Betreibers/Verantwortlichen
- Anschrift (Postadresse)
- E-Mail-Adresse
- Telefonnummer (optional, aber empfehlenswert)
- Vertretungsberechtigter (z.B. Geschäftsführer)
- Umsatzsteuer-ID (falls vorhanden)
- Angaben zum Datenschutzbeauftragten (falls vorhanden)
- Link zur Datenschutzerklärung
Fazit:
Die DSGVO verlangt im Wesentlichen Transparenz und einfache Kontaktmöglichkeiten für Betroffene. Diese Anforderungen beeinflussen das Impressum indirekt, insbesondere durch die Verpflichtung, den Verantwortlichen der Datenverarbeitung sowie den Datenschutzbeauftragten zu benennen.
Generell hat sich am Impressum nicht viel geändert. Es muss vorhanden sein und sollte valide sein. Allerdings verweisen viele Ratgeber darauf, dass man ggfs. den Hinweis auf die „Online Streitbeilegung“ und den Hinweis zur „Außergerichtlichen Streitbeilegung“ einfügen sollte. Das könnte zum Beispiel folgendermaßen aussehen:
Online-Streitbeilegung Die Europäische Kommission stellt unter https://ec.europa.eu/consumers/odr/ eine Plattform zur Online-Streitbeilegung bereit, die Verbraucher für die Beilegung einer Streitigkeit nutzen können und auf der weitere Informationen zum Thema Streitschlichtung zu finden sind. Außergerichtliche Streitbeilegung Wir sind weder verpflichtet noch dazu bereit, im Falle einer Streitigkeit mit einem Verbraucher an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.
—
2. Aufklärungspflicht auf Online-Formularen
Wer über Formulare auf seiner Webseite Daten sammelt (e-Mail, Adressdaten, Logins, Kommentarfelder etc.) und diese dann verarbeitet (zum Beispiel Empfang einer Anfrage im Mailpostfach, Speichern in einer Datenbank, etc.), der muss darauf hinweisen. Ebenso darauf, wie mit den Daten verfahren wird und wie lange sie gespeichert werden. Am besten baut man hierzu im Kontaktformular einen Haken für die Datenschutzerklärung ein und weist mit einem kurzen Absatz direkt am Formular darauf hin. Dieser könnte zum Beispiel folgendermaßen aussehen:
Ja, ich habe die Datenschutzerklärung (Link zur Datenschutzerklärung) zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben und gespeichert werden. Meine Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung meiner Anfrage benutzt. Mit dem Absenden des Kontaktformulars erkläre ich mich mit der Verarbeitung einverstanden. Nach Abschluss der Verarbeitung werden die erhobenen Daten gelöscht, insofern diese nicht für die weitere Bearbeitung der Anfrage oder eines daraufhin entstandenen Auftrags weiter benötigt werden.
Für den Loginbereich lässt sich das direkt seit WordPress 4.9.6 erledigen, indem man unter Einstellungen>Datenschutz die Datenschutzerklärung auswählt. Diese wird dann unter dem Loginfeld gezeigt. Wer dann noch den Loginbereich per Securitymaßnahmen versteckt, der sollte auf der absolut sicheren Seite sein.
—
3. SSL Verschlüsselung von Formularen
Onlineformulare müssen zwingend verschlüsselt werden. Das bedeutet eine SSL Verschlüsselung einer WordPress Webseite sollte erledigt sein. Ich sehe auch heutzutage immer noch Websites ohne Verschlüsselung. Seit Let’sencrypt Zertifikate kostenfrei zur Verfügung stehen, sollten auch Kostengründe keine Ausrede mehr sein eine Website nicht zu verschlüsseln.
—
4. Datenschutzerklärung erneuern
Eine Datenschutzerklärung war schon lange Pflicht. Allerdings verlangt die DSGVO eine deutlich umfangreichere Fassung, in der wirklich über alle Dienste und Wege der personenbezogenen Datenverarbeitung aufgeklärt wird. Die neue Datenschutzerklärung erstellt man am besten mit guten Online Generatoren (zum Beispiel Dr. Schwenke oder e-Recht24.de) oder fragt den Anwalt des Hauses.
Tipp: Als Agentur-Partner von e-Recht24.de (* Partnerlink zu e-Recht24.de) empfehle ich, die Datenschutzerklärung über den dort verfügbaren Datenschutzgenerator zu erstellen. Im Laufe der letzten Monate hat sich e-Recht24.de immer mehr als die Referenzseite im Netz positioniert, wenn es um die DSGVO geht. Selbst Datenschützer haben mir den Service von e-Recht24.de empfohlen, so dass ich ruhigen Gewissens meine Kunden dort hinschicken kann. Als Gewerbetreibender benötigt man einen Mitgliederzugang bei e-Recht24.de, um die Datenschutzerklärung erstellen zu können. Dieser ist allerdings jederzeit kündbar und bietet abseits der Datenschutzerklärung noch jede Menge andere Dienste und Informationen, die heutzutage wichtig sind um online rechtskonform unterwegs zu sein.
5. Cookie Hinweis
Oktober 2019: Auch wenn ich diese Cookiehinweise immer noch häufig sehe: Der Europäische Gerichtshof hat geurteilt, dass rein passive Cookiehinweise nicht mehr erlaubt sind. D.h. Nutzer einer Webseite müssen vorab zwingend der Nutzung von Cookies zustimmen oder diese ablehnen können. Möglich ist der rechtssichere Einbau zum Beispiel über Borlabs Cookie. Cookiebanner sind dann nötig, wenn auf der Website Cookies eingesetzt werden, die nicht nur technisch notwendig sind. Wenn Cookies oder andere Techniken eingesetzt werden, um personenbezogene Daten zu sammeln und den User und sein Surf-Verhalten auf der Website zu tracken, muss erst um Erlaubnis gebeten werden. Das Gleiche gilt für externe Verbindungen zu Servern, wie das zB bei der Einbindung von Youtube-Videos, Google Maps, Schriftarten, etc. häufig passiert. Vor der Verbindung zu diesen Servern muss über den Cookie Banner um Erlaubnis gefragt werden.
—
6. Google Analytics bzw Tracking datenschutzkonform einbauen
Google Analytics oder andere Trackingtools müssen folgendermaßen in WordPress Webseiten eingebaut sein:
- vollkommen anonymisiert ohne Fingerprinting oder per Cookie Consent Abfrage der Zustimmung für das Tracking
- Hinweis in der Datenschutzerklärung
- Opt Out Möglichkeit in der Datenschutzerklärung
- Herabsetzung der Speicherdauer von Daten (direkt in GA bei jeder Webseite: Verwaltung>Property>Tracking-Informationen>Datenaufbewahrung)
- AV mit Google (direkt in GA möglich)
Also völlig egal über welchen Dienst getracked wird, die obenstehenden Pflichten sind zu erfüllen. Anleitungen hierzu findet man viele im Netz. Ich persönlich setze mittlerweile nur noch Matomo ein, ohne IP Speicherung und ohne Fingerprinting. Dadurch spare ich mir sogar eine Einwilligung per Cookie Banner. Wer hier Hilfe bei der korrekten Einrichtung benötigt, meldet sich gerne bei mir.
—
7. Externe Scripte und Schriften lokal laden
Ein Problem für WordPress Webseitenbetreiber ist es, dass häufig externe Scripte (wie jQuery) oder auch Schriften (wie Google Fonts) von externen Servern geladen werden. Durch das Laden werden bereits Daten mit dem Server ausgetauscht, der die Scripte bereitstellt. So zum Beispiel die IP Adresse des anfragenden Rechners oder Endgeräts. Daher sollten diese Scripte wenn möglich lokal geladen werden. Ist das nicht möglich, besteht in meinen Augen eine „Ausrede“, wenn ein sogenanntes „berechtigtes Interesse“ des Webseitenbetreibers besteht dieses Script weiterzuverwenden. Ein Interesse wäre es, die Webseite oder bestimmte wichtige Funktionen überhaupt weiter betreiben zu können (Beispiel: Google reCaptcha gegen SPAM in einem Formular), wenn durch Weglassen des Scripts die Funktion nicht mehr gewährleistet wäre und keine andere Lösung seitens des Anbieters möglich ist. Ob das wasserdicht ist, müssen Anwälte einschätzen.
Bei Schriften wie Google Fonts, kann man lokal laden und das Laden von externen Servern unterbinden. WordPress Premium Themes laden gerne direkt vom Server von Google. Leider haben auch nach Jahren DSGVO nicht alle Themehersteller auf lokale Fonts umgestellt. Daher ist weiterhin Handarbeit angesagt (oder der Verzicht auf die Fonts und Verwendung von Standardschriften), wenn man externes Laden unterbinden will. Ich empfehle für die lokale Einbindung von Google Fonts in WP Websites das Plugin OMGF.
—
8. Newsletterversender wie Mailchimp
Viele WordPress Webseitenbetreiber nutzen Mailchimp oder andere Dienste für deren Newsletter. Gerade wenn diese Dienstleister nicht in der EU sitzen, ist hier Handlungsbedarf vorhanden. Was definitiv getan werden muss:
- Datenschutzerklärung um Passus zu Mailchimp oder anderen Newsletterversendern erweitern
- Double Opt In Verfahren nutzen
- Auftragsverarbeitungsvertrag schließen (z.B. hier bei Mailchimp zu finden)
- Bei Adressgenerierungs-Feldern muss ebenso wie bei Kontaktformularen auf die Datenverarbeitung hingewiesen werden, bzw. sollte hier auch ein Kontrollkästchen verwendet werden
Viele Ratgeber raten generell von Anbietern im nicht EU-Ausland ab. Aber das halte ich für übertrieben und auch nicht realistisch. Es gibt meines Wissens nach noch keine Rechtssprechung, ob Anbieter wie Mailchimp genutzt werden dürfen oder besser gesagt nicht genutzt werden dürfen. Daher würde ich hier erstmal keine Panik kriegen. Ob andere EU Anbieter hier besser aufgestellt sind, ist nicht sicher. Eine europäische Alternative wäre Brevo.
—
9. iFrames oder externe Feeds nicht mehr nutzen
Viele nutzen externe Dienste per iFrame in ihrer Webseite (z.B. externe Shops oder Snipets für Widgets (Wetter, Aktienkurse, Instagram-Feed etc.)). Das ist in Hinblick auf die DSGVO sehr zweifelhaft, da keine Kontrolle über die dort angezeigten Inhalte besteht. Was geladen wird, wird von der externen Webseite bestimmt und kann ggfs. nicht konform sein. Daher wird empfohlen, diese iFrames nicht mehr zu nutzen. Ich würde generell keine Plugins einsetzen, die externe Inhalte in der Website darstellen, weil diese eigentlich immer mit externen Verbindungen daherkommen, für die erst einmal ein Cookie Consent eingeholt werden müsste. Da das aber in der Regel technisch nur sehr aufwendig oder gar nicht funktioniert, rate ich davon ab.
—
10. Online Shops
Auch Online-Shops, wie z.B. WooCommerce, müssen schon lange datenschutzkonform sein. Wichtig auch wegen der DSGVO zu prüfen, ob im Kaufprozess alles valide ist und der Aufklärungspflicht nachgekommen wird. Es werden definitiv benötigt:
- Hinweis in Datenschutzerklärung (z.B. auf externe Zahlungsanbieter wie Paypal)
- Hinweis auf Datenschutz im Checkout, am besten mit Bestätigungs-Häkchen für die Datenschutzerklärung (wie bei ABGs)
- Abschluss von Auftragsverarbeitungsverträgen mit Zahlungsanbietern oder Empfängern von Kundendaten (z.B. zum Versand von Produkten)
—
11. Plugins
Wie immer sind Plugins das Schlimmste, was einer WordPress-Webseite passieren kann: Durch sie kann eine noch so datenschutzkonforme Webseite regelwidrig werden. Dann, wenn der Pluginhersteller personenbezogene Daten sammelt und wenn genau das nicht zu unterbinden ist. Weil der Pluginhersteller das nicht beachtet oder weil es ihm evtl. egal ist. So zum Beispiel das klassische Sammeln von Verbindungsdaten (IP) für statistische Zwecke oder für das Nachladen von Scripten. Hier sollten Pluginhersteller endlich Sorge tragen, DSGVO-konform zu sein. Aktuell sind es sicher nicht alle. Gerade die Hersteller aus dem Ausland (meist der USA) interessieren sich nicht für die DSGVO.
WordPress Webseitenbetreiber sollten die verwendeten Plugins durchsuchen und mit Testseiten auf DSGVO-Konformität hin vergleichen. Blogmojo.de listet über 120 häufig verwendete Plugins auf und beschreibt die Datenschutzkonformität. Sind einige Plugins unklar, wende dich am besten an den Webseitenentwickler.
Typische Plugins, die nach der DSGVO Probleme machen
- Social Media Plugins
- Plugins, die Analytics einbindet
- Securityplugins
- Newslettergenerierungs-Plugins (z.B. Mailchimp)
- Fonts-Plugins
- Google Maps Plugins
- …
Bitte beachte, dass nicht alle Plugins sofort gelöscht werden müssen. Wie gesagt, gibt es hier noch keine rechtlichen Erfahrungen. Gerade Securityplugins sind ebenso wichtig für den Datenschutz und müssen ggfs. nur anders eingestellt werden. Spreche hierzu am besten deinen WordPress-Partner an.
—
12. Pixel und Tracking von externen Plattformen wie Facebook
Wer Marketing betreibt, möchte Erfolge tracken. Dazu werden häufig Trackingpixel in der Webseite eingebaut. Diese sind kritisch zu sehen, da durch sie bereits IP Daten zwischen den Servern getauscht werden und Profile erstellt werden. Daher rate ich generell von der Nutzung dieser Trackingmethoden ab. Müssen sie verwendet werden, frage bei der entsprechenden Plattform nach einer DSGVO-konformen Art der Einbindung. Zumindest muss ein Hinweis in der Datenschutzerklärung vorhanden sein. Seit neuestem verlangt Google einen Consent Mode, der angeblich datenschutz safe sein soll, bei der Einbindung von Google Ads Conversion Tracking. Hierbei ist zwingend eine externe Verbindung zum Google Server nötig, was den Cookie Banner ad absurdum führt. Hier solltest du dich gezielt informieren.
Übrigens: Um herauszufinden, was überhaupt auf der eigenen Webseite so läuft, gibt es das praktische Browser-AddOn „Ghostery“, welches alle geladenen Tracker anzeigt. Diese können dann im Nachgang entfernt werden, wenn das denn möglich ist. Bei Unklarheit frage auch hier deinen WordPress-Partner.
—
13. Chatsysteme
Manch einer hat schon Chat-Systeme im Einsatz, die parallel zu WordPress laufen. Vergesse nicht, auch hier die Datenschutzkonformität zu prüfen, gegebenenfalls eine AV abzuschließen und in der Datenschutzerklärung darauf hinzuweisen. Auch ein Cookie Banner ist manchmal beim Laden des Chats nötig.
—
14. Securitymaßnahmen
Normalerweise sollte sowieso jede WordPress-Webseite abgesichert werden. Im Hinblick auf die DSGVO sollte aber mehr denn je darauf geachtet werden, dass die eigene Webseite nicht gehacked wird. Frage im Zweifelsfall deinen WordPress-Fachmann, ob hier bereits alles getan wurde.
—
15. Einbinden von Videos
Wer Youtube Videos oder Videos von anderen Anbietern einbindet (über iFrame oder über die URL in WP), der tauscht mit dem Youtube Server Daten aus. D.h. eigentlich ist das so nicht zulässig. Zumindest sollte eine AV mit Youtube / Google geschlossen werden. Es gibt ein Plugin namens Embed Videos and Respect Privacy, welches die Einbindung datenschutzkonform macht oder man bindet die Videos selber korrekt ein, wie hier beschrieben.
Wer ohnehin eine datenschutzkonforme Lösung für Cookies auf dem Schirm hat, der kann gleich mehrere Fliegen mit einer Klappe schlagen. Das Borlabs Plugin kann nicht nur eine rechtssichere Cookie-Abfrage garantieren, sondern auch Youtube und andere Dienste von Google DSGVO-konform darstellen.
Ansonsten kann man natürlich weiterhin problemlos selber Videos hosten, insofern man ein gutes Plugin findet, welches browserübergreifend funktioniert. Das ist nämlich leider gar nicht so einfach.
—
16. Backup in externe Systeme (wie Cloudservice; z.B. Dropbox)
Backups können problemlos lokal oder auf Cloud Services oder externe Server gespeichert werden. Sobald aber personenbezogene Daten gespeichert werden (wie z.B. Kundendaten in der Datenbank, Logfiles, etc.) muss ein AV mit diesem Service vereinbart werden. Generell würde ich aber davon abraten extern zu speichern, vor allem dann, wenn der Cloudspeicher außerhalb der EU sitzt (was meistens der Fall ist). Außer man nutzt einen DSGVO-konformen Clouddienst (vorzugsweise mit Sitz in der EU).
—
17. Kommentare anonymieren und Checkbox setzen
Wer Kommentare von Usern auf seiner WordPress-Webseite erlaubt, der muss diese Kommentare anonymisieren. Und dafür Sorge tragen, dass frühere Daten ebenso anonymisiert werden in der WP Datenbank.
Hier der Code zum Anonymisieren von WordPress Kommentaren:
function wpb_remove_commentsip( $comment_author_ip ) { return ''; } add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );
—
18. Gravatare deaktivieren
In WordPress können sogenannte Gravatare genutzt werden. Dieser Service ordnet ein Benutzerbildchen einer E-Mail-Adresse zu. Die Kommunikation der Webseite läuft über den externen Gravatarserver, dabei werden IP Daten getauscht. Das ist so nicht zulässig und sollte deaktiviert werden unter: Einstellungen>Diskussion>Avatare.
—
19. Emojis deaktivieren
Wer einen Smiley in WordPress veröffentlicht, der zeigt auf seiner Webseite einen richtigen Emoji an, der anhand verschiedener verwendeter Zeichen generiert wird (Beispiel: 😉 ). Beim Abruf des Emojis werden ebenso wie bei den Gravataren IP Daten getauscht. Verhindern kann man das mit dem Plugin „Disable Emojis„. Alternativ per Code in der functions.php:
remove_action( 'wp_head', 'print_emoji_detection_script', 7 ); remove_action( 'admin_print_scripts', 'print_emoji_detection_script' ); remove_action( 'wp_print_styles', 'print_emoji_styles' ); remove_action( 'admin_print_styles', 'print_emoji_styles' );
—
20. Google Maps
Zur Verwendung von Google Maps sollte ein Hinweis in der Datenschutzerklärung verfasst werden. Mit den üblichen Datenschutzgeneratoren ist das kein Problem. Ob die Verwendung ansonsten aber dann OK ist, darüber lässt sich derzeit wie in vielen anderen Punkten keine klare Meinung finden. Fakt ist, dass bei der Nutzung von Google Maps auch Cookies und externe Server-Verbindungen geladen werden.
Du kannst auf Nummer sicher gehenn und sicherstellen, dass Google Maps nur nach extra Klick auf die Karte aktiv werden. So muss der User also selbst bestätigen, dass die Nutzung von Maps OK ist. Das kann per Cookie Banner erledigt werden, wie zB „Borlabs Cookie„.
Allgemeine Hinweise und Richtlinien zur DSGVO
Die Checkliste behandelt hauptsächlich die technische und inhaltliche Basis einer (WordPress) Webseite. Es gibt aber auch noch einige Punkte abseits dieser Checkliste, die Unternehmen und Webseitenbetreiber aufgrund der neuen Datenschutzgrundverordnung beachten oder leisten müssen. Hier nur ein Überblick, da wie bereits schon erwähnt, viele andere Webseiten bereits umfassende Informationen bereitgestellt haben:
AV – Auftragsverarbeitungsvertrag
Wer mit Dienstleistern oder Personen zusammenarbeitet, die in deren Auftrag oder für sie personenbezogene Daten verarbeitet oder speichert, der muss einen Auftragsverarbeitungsvertrag abschließen. In der Regel tut dies der Auftraggeber mit dem Auftragnehmer. In manchen Fällen macht es aber auch andersherum Sinn. Ich habe meinen Kunden ein AV zur Verfügung gestellt, da diese vermutlich Schwierigkeiten haben werden, die technischen Rahmenbedingungen des Auftrags korrekt zu erfassen und zu dokumentieren. Mir selbst fällt das auch schwer, aber sicherlich leichter als meinen Kunden.
Typische Stellen, mit denen ein AV geschlossen werden muss:
- Dienstleister von Analysewerkzeugen (Google Analytics)
- Bezahlanbieter Shop
- Social Media Kanäle mit Marketingfunktionen (Facebook)
- Newsletterversender
- Webhoster!
- Cloudanbieter
- Videokonferenzsysteme
- Fotografen (Bilddaten können auch personenbezogen sein)
- Werbeanbieter
- Externe Mitarbeiter
- Firewallanbieter
- Abodienstleister
- Buchhalter
- Druckereien
- Partner von Gewinnspielen
- Anwälte
- Personaldienstleister (Mitarbeiter haben auch personenbezogene Daten)
- Telemarketingagenturen
- Chatdienstleister
- Marktforschungsunternehmen
- Subdienstleister (zum Beispiel Agenturen, die Arbeit an fremde Entwickler auslagern)
- …
Man sieht, es gibt etliche Stellen, wo Daten verarbeitet werden. Das ist nur ein kleiner Auszug aus dem, was theoretisch nötig ist. Eine Übersicht häufig verwendeter Dienste, mit denen man einen AV abschließen sollte, findest du hier.
Verfahrensverzeichnis/Verarbeitungstätigkeiten
Unternehmen, die personenbezogene Daten regelmäßig speichern oder verarbeiten, müssen ein Verfahrensverzeichnis führen und Verarbeitungstätigkeiten dokumentieren (Muster). D.h. für jede Stelle an der personenbezogene Daten verarbeitet werden, muss eine Dokumentation vorhanden sein, die zum Beispiel folgendes erklärt:
- Wieso werden die Daten erfasst?
- Wer ist verantwortlich?
- Wie werden die Daten erfasst?
- Wozu werden die Daten erfasst?
- Was passiert mit den Daten?
- Wann werden sie gelöscht?
- …
Je nach Aktivitäten im Bereich Marketing kann das schon richtig aufwändig werden. Idealerweise verbindet man das Ganze direkt mit einem internen System für die Historienüberwachung von Formularen. Das bedeutet: In der Regel werden Daten über Formulare erfasst (Print oder Online). Die aktuelle Rechtslage sagt, dass man die Quelle von Daten belegen muss. Lückenlos. Das bedeutet also auch, dass ein reiner Zeitstempel und zum Beispiel eine URL eines Online Formulars nicht ausreicht um nachzuweisen, wie genau die Adressen generiert wurden. Hier macht es Sinn, wenn Online Formulare ausgedruckt und mit Zeitstempel versehen abgelegt werden. Ändert sich das Formular, sollte direkt das Gleiche wieder passieren. Das sollte im Falle der Nachfrage nach der Quelle von Daten (zum Beispiel wenn ein Newsletter-Abonnent wissen möchte, wo das Opt In generiert wurde) für schnelle Aufklärung und weniger potentielle Abmahngefahr sorgen.
Printformulare, wie zum Beispiel Bestellkarten, sollten gescannt oder physisch aufbewahrt werden (10 Jahre Aufbewahrungspflicht von Dokumenten von Geschäftsvorfällen nicht vergessen).
Datenschutzhinweise bei Stellenauschreibungen
Wer online Stellen ausschreibt und dazu Formulare anbietet, sollte gezielt darauf hinweisen, was mit den Bewerbungsdaten passiert und wie lange diese gespeichert werden. Generell macht es Sinn einen Autoresponder und eine Autosignatur im Mailprogramm einzurichten, wo darauf hingewiesen wird, wie mit Daten umgegangen wird, die per Mail einlaufen. Die Formulierung sollte ähnlich sein, wie bei den Online Formularen (siehe oben).
Versand von personenbezogenen Daten verschlüsseln
Bitte beachten, dass du personenbezogene Daten ausschließlich verschlüsselt versendest (mind. Passwortschutz und/oder verschlüsselt zippen). Weisen auch externe Partner darauf hin.
Datenlöschung/Recht auf Löschung/Auskunftsrecht
Ihre Kunden haben ein Recht auf Datenlöschung und auf Auskunft. Bitte beachten, dass sich der Anfrager erst einmal selbst authentifizieren muss, bevor du ihm seine bei dir gespeicherten Daten zur Verfügung stellen kannst. Das ist zum Beispiel über eine Kopie des Personalausweises möglich, in der die meisten Daten geschwärzt sind. Der Name sollte ausreichend sein. Daten zu löschen ist nur dann möglich, wenn die Aufbewahrungsfrist von 10 Jahren bei Geschäftsvorfällen abgelaufen ist. Ist kein Geschäftsvorfall anhängig, kann sofort gelöscht werden. Um Historien zu erhalten, sollte auch eine Anonymisierung der Daten möglich sein.
Newsletter an Kunden
Newsletter dürfen nur an Personen mit Double Opt In geschickt werden. Kunden dürfen im Rahmen der Kundenbeziehung und im Rahmen der Bearbeitung eines Auftrags angeschrieben werden. Fremdwerbung ist an Kunden nicht zulässig. Redaktionelle Inhalte sollte nicht an Kunden geschickt werden, wenn diese kein explizites Interesse dafür haben (Double Opt In).
Kopplungsverbot
Viele bieten gegen E-Mail-Adressen Dienstleistungen oder Waren an (z.B. e-Books oder einen generellen Download(bereich)). Mit der DSGVO ist das leider nicht mehr zulässig. Ab sofort darf niemand mehr zur Abgabe personenbezogener Daten gezwungen werden, wenn er dafür eine kostenlose Gegenleistung erhält. Tipp hier im Falle eines Downloads: Nicht den Download primär bewerben, sondern eher den Newsletter und dort den Download hervorheben. Auf das Wörtchen „kostenlos“ sollte verzichtet werden, da ja die Datenabgabe bereits ein „nicht kostenlos“ impliziert.
Früher möglich (und jetzt nicht mehr erlaubt):
„Bitte trage dich für meinen Newsletter ein und als Gegenleistung erhältst du den Download XY kostenlos.“
Jetzt besser
„Kennst du schon unseren Newsletter? Jetzt eintragen. Übrigens: Meine Newsletter-Abonnenten haben Zugriff auf tolle Downloads, wie das e-Book XY…“
Gewinnspiele
Bei Gewinnspielen sollte ein Hinweis gegeben sein, der besagt, dass die Daten ausschließlich zur Ermittlung der Gewinnspielteilnehmer verarbeitet und anschließend gelöscht werden. Ist ein Double Opt In für Werbung hier zusätzlich gegeben, dürfen diese darüber generierten Adressen natürlich weiterhin genutzt werden.
Werbung/AdSense
Viele Webseitenbetreiber setzen Werbung ein um Einkünfte zu generieren. Bis heute ist es nicht 100% klar, ob und wie Anzeigen datenschutzkonform eingesetzt werden können. Anbieter wie Google mit AdSense setzen Cookies ein um ihre Werbung gezielt auszuliefern und so am Ende für Vermarkter und Websitebetreiber mehr Umsatz zu gewährleisten. Das ist eigentlich mit der DSGVO nicht ganz zu vereinbaren. Allerdings hat man auch ein berechtigtes Interesse Einkünfte mit einer Webseite zu generieren, die den Fortbestand des Angebots überhaupt erst gewährleisten. Evtl. wiegen aber die Nutzerinteressen schwerer als die Interessen der Webseitenbetreiber.
Google möchte rechtzeitig eine Lösung präsentieren, die aber ggfs. sogar den Webseitenbetreiber in die Pflicht nimmt und ein Opt In für personalisierte Werbung voraussetzt. Ansonsten wird nur unpersonalisierte Werbung ausgespielt, was am Ende zu Umsatzeinbußen führt. Ich bin mir sicher, dass Google hier etwas sinnvolles anbieten wird, weil es hier ganz klar an das Kerngeschäft von Google geht.
Eine Lösungsmöglichkeit für WordPress wäre ein Opt In für Cookies über das Plugin „Borlabs Cookie“ einzubauen.
Tracker und Opt Out
Man sollte für jeden Tracker (Google Analytics, Piwik, Adobe Analytics, eTracker, Hotjar, …) auf seiner Webseite in der Datenschutzerklärung Informationen bereitstellen. Zudem wenn möglich die Opt Out Möglichkeit einbauen (siehe Google Analytics). Eine Liste aller Tracker und der dazugehörigen Opt Out-Möglichkeiten findest du hier. Alternativ siehe letzten Punkt das generelle Opt Out anbieten.
Datenpanne
Im Falle einer Datenpanne (Klau von personenbezogenen Daten, externer Zugriff auf sensible Kundendaten, etc.) muss innerhalb von 72 Stunden die Aufsichtsbehörde benachrichtigt werden. Ansonsten drohen auch hier empfindliche Strafen.
Fazit zur DSGVO
Man sieht an diesem Artikel, wie viel man darüber schreiben kann, wie viel Vermutung ist und wie viel auch ein Stück weit Angst zu wenig getan zu haben. Webseitenbetreiber und Entwickler sitzen hier mehr oder weniger im selben Boot. Beide sind dafür verantwortlich, dass die eigene Webseite oder (zumindest im Falle des Webentwicklers) die Webseite des Kunden DSGVO-konform ist. Natürlich wird es nie eine 100%-ige Sicherheit geben, aber wer meine Checkliste abarbeitet sollte eine gute Basis haben um das Groß an zu erwartenden Rechtsproblemen zu vermeiden. Eine Garantie, dass das so ist, kann ich nicht geben. Hier verweise ich erneut auf externe Rechtsberatung und die Einschaltung von Datenschutzbeauftragten.
GDPR icons created by Muhammad_Usman – Flaticon
Adrian
Hallo René, vielen Dank für deinen Beitrag. Mir ist aber folgendes noch aufgefallen und vielleicht kannst du es mir kurz erklären. Ich benutze einen Cookie Banner von Consent Manager (https://www.consentmanager.de/) und habe schon überall gesehen, dass das Impressum und Datenschutzerklärung vom Cookie Banner nicht „versteckt“ werden dürfen und deswegen im Cookie Banner auch direkt verlinkt sein sollten. Ich habe es jetzt auch so umgesetzt, aber da du folgendes nicht erwähnst, wollte ich kurz nachfragen, ob es wirklich nötig ist. Danke dir
René Dasbeck Post author
Das ist auch mein letzter Kenntnisstand. Danke für den Hinweis.
Bachelorschreibenlassen
von „Ghostery“ habe ich noch wirklich nicht gehört, danke für den Hinweis!
Tanja
Hallo René,
vielen Dank für die Übersicht! Eine Frage bzgl. Backup hätte ich noch: soweit ich verstanden habe, ist es ja jetzt auch bedenklich Backups auf Cloud Services wie Dropbox zB zu speichern, weil der Speicher außerhalb der EU liegt. Wie handhabst du das dann? Nur lokales Backup gespeichert? Oder hast du ein empfehlenswertes Cloud Service System innerhalb der EU?
LG Tanja
René Dasbeck Post author
Ich speichere nur auf dem Webserver, weil mein Webhoster das Haupt-Backup macht. Das reicht mir um sicher zu sein.
Gerd
Hallo Rene,
danke für diese Übersicht und Zusammenfassung. Dazu noch zwei Fragen:
1. Wo hast du dein Google Opt-Out eingebaut?
2. Warum sind manche Namen hier ausgegraut bei den Kommentaren?
Danke,
Gerd
René Dasbeck Post author
Hi,
1. in der Datenschutzerklärung
2. ist ein Versehen
Roger Ruckstuhl
Tolle Checkliste auch mit guten Hinweisen.
maurice
Danke für die schöne Übersicht.
Ein kleiner Hinweis: imho werden keine Mailadressen an Gravatar übertragen. Diese sollten eigentlich vor dem Senden in einen s.g. md5-hash umgewandelt werden. Der ist dann auch nicht mehr zu entschlüsseln. Die IP wird beim Abruf des Bildes aber natürlich trotzdem übertragen.
Tanja Volk
Dies ist die beste, schlüssigste und ausführlichste Übersicht über alle Änderungen, die ich bisher gesehen habe!
Vielen Dank für den tollen Beitrag!
Matthias
Oh Mann,
danke für den Beitrag. Und wieder ein paar Punkte mehr auf der Liste des Albtraums. Immerhin hat Google jetzt 10 Tage vor dem Stichtag auch Mal was von sich verlauten lassen.
Das kann ja heiter werden.
Der Punkt mit den Gravataren ist in der Tag interessant. Ich hab den in meiner Datenschutzerklärung abgefrühstückt. Aber ich warte auch noch darauf, dass Automaticc da sich bewegt.
Aber Du hast in der Tat Recht: Da werden ja E-Mail-Adressen übermittelt – Selbst, wenn sie dann nicht angezeigt werden. Seufz…
Tom
Hallo René,
vielen Dank für den hilfreichen Artikel!
Ich habe eine Frage zum Bereich „Google Analytics datenschutzkonform einbauen“. Deinen genannten Code habe ich übernommen und in meine Seite verbaut. ‚UA-XXXXXXXX-X‘ habe ich natürlich angepasst.
Nur verstehe ich nicht ganz: Was & wo soll jetzt auf der Seite passieren, dass die User das Tracking deaktivieren können?
Vielen Dank!
Tom
HGG
Hallo,
danke – super Artikel…
Viele Grüße
Mario
Cookies und Datensammelprogramme sind in aller Munde. Überall geht es darum, wie man Cookies löschen kann. Ich will aber wissen: ist es möglich, zu verhindern, dass Cookies auf meiner Webseite aktiv werden und Daten der Nutzer einsammeln? Es ist doch verrückt: meine eigene Webseite sammelt ungefragt Daten ein, so dass ich einen Cookie-Hinweis schalten muss, obwohl ich das gar nicht will! Es müßte doch irgendwie möglich sein, zu verhindern, dass meine eigene Webseite Nutzer ausspioniert.
René Dasbeck Post author
Das kommt darauf an, wie die Webseite gestaltet wurde und welche Software dort läuft. Man kann natürlich eine Webseite ohne Cookies erstellen. Sobald man aber Software von Extern lädt, werden meist auch Cookies erzeugt. WordPress, Google, Facebook, etc. Alle sammeln derzeit noch Daten und legen Cookies ab. Was Stand heute auch noch ganz OK ist. Wie lange noch, ist die andere Frage.
xar61
Sollte mich nicht wundern, wenn man eines Tages lesen muss “ Diese Webseite fiel der DSGVO zum Opfer “
Aus meiner persönlichen Sicht, kam die DSGVO viel zu früh. denn man hätte zu aller aller erst “ den zahnlosen Tiger ein SVK Gebiss schenken sollen, …
André B
Danke für diesen guten und hilfreichen Beitrag!