DSGVO: Checkliste für meine Kunden und andere (WordPress) Webseitenbetreiber

Wer sich so wie ich die letzten Wochen durch diverse Ratgeber zur Datenschutzgrundverordnung (DSGVO, engl. GDPR) durcharbeitet, der hat das Gefühl, dass wirklich jeder das Thema auf dem Schirm hat. Es gibt so viele verschiedene Ratgeber, dass man zumindest der Annahme sein sollte. Allerdings ist es immer noch so, dass viele meiner Kunden und andere Webseitenbetreiber nicht einmal ansatzweise wissen, was die DSGVO ist und wieso der 25.Mai 2018 für sie ein sehr beachtenswerter Tag ist. Geschweige  denn, wie sie sich auf diesen Tag vorbereiten sollten. Das liegt unter anderem daran, dass niemand von Behörden oder anderen Stellen darauf aufmerksam gemacht wird. Und die Medien berichten in meinen Augen sehr überschaubar darüber. Schon gar nicht so umfassend aufklärend, als dass Webseitenbetreiber einen Überblick erhalten würden. Vermutlich deshalb, weil sie selber noch damit beschäftigt sind, ihr eigenes Tun DSGVO-konform zu machen.

Ich versuche mit diesem Artikel mein gesammeltes Wissen zur Verfügung zu stellen und stelle eine kostenlose Checkliste bereit. Natürlich alles unter Vorbehalt, da nichts sicher ist bei der DSGVO, außer, dass sie kommt und vermutlich langfristig für viel Beschäftigung der Gerichte und Anwälte sorgen dürfte. Alles was ich hier empfehle, ist gesammeltes Wissen und unterliegt keiner anwaltlichen Abklärung. Ich selber werde meine Webseiten danach versuchen abzusichern. In der Hoffnung, dass das was ich so überall an Ratgebern gelesen habe, auch wirklich umfassend und korrekt ist. Natürlich werde ich den Artikel auf dem Laufenden halten, wenn sich Änderungen zur DSGVO und die dazugehörigen Anforderungen ergeben.

Stand: 02.07.2018

Was ist die DSGVO und wen betrifft sie?

Ich will gar nicht die gefühlt millionste Erklärung zur DSGVO bringen. Daher nur kurz: Die DSGVO wurde von der EU beschlossen und betrifft alle Unternehmen, die in der EU Geschäfte machen und/oder personenbezogene Daten verarbeiten, direkt bezüglich Vorgaben und Richtlinien im Bereich Datenschutz. Die EU zieht die Schrauben an und gibt vor, dass Unternehmen personenbezogene Daten deutlich besser schützen sollen, weniger erheben dürfen und deutlicher auf die Erhebung hinweisen müssen.

Die Dokumentationspflicht ist enorm. Die Anforderungen an Webseiten und Marketingaktionen sind das ebenso. Vieles darf nicht mehr passieren, was in der Vergangenheit noch durchgegangen ist. Und die Strafen bei Nichteinhaltung sind empfindlich hoch angesetzt. So viel zur ultraknappen Theorie, wieso es die DSGVO überhaupt gibt.

Wer sich genauer zur DSGVO informieren will, der schaut zum Beispiel hier vorbei.


DSGVO Checkliste für WordPress-Webseiten

Ich erkläre im Folgenden die einzelnen Checklisten-Punkte. Webseitenbetreiber, die WordPress nicht einsetzen, können sich sicher auch das eine oder andere mitnehmen. Viele Vorgaben sind systemunabhängig.

WordPress-spezifische Maßnahmen um eine Webseite DSGVO-konform zu machen

Zuerst schauen wir uns an, was konkret WordPress-Webseitenbetreiber beachten sollten, damit diese DSGVO-konform ist und nicht durch Abmahnanwälte abgestraft oder durch Behörden beanstandet werden können. Wie gesagt ohne Anspruch auf Vollständigkeit und Rechtssicherheit!

1. Impressum

Generell hat sich am Impressum nichts geändert. Es muss vorhanden sein und sollte valide sein. Allerdings verweisen viele Ratgeber darauf, dass man zwingend den Hinweis auf die „Online Streitbeilegung“ und den Hinweis zur „Außergerichtlichen Streitbeilegung“ einfügen sollte. Das sollte zum Beispiel folgendermaßen aussehen:

Online-Streitbeilegung
Die Europäische Kommission stellt unter https://ec.europa.eu/consumers/odr/ eine Plattform zur Online-Streitbeilegung bereit, die Verbraucher für die Beilegung einer Streitigkeit nutzen können und auf der weitere Informationen zum Thema Streitschlichtung zu finden sind.

Außergerichtliche Streitbeilegung
Wir sind weder verpflichtet noch dazu bereit, im Falle einer Streitigkeit mit einem Verbraucher an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle teilzunehmen.

2. Aufklärungspflicht auf Online-Formularen

Wer über Formulare auf seiner Webseite Daten sammelt (e-Mail, Adressdaten, Logins, Kommentarfelder etc.) und diese dann verarbeitet (zum Beispiel Empfang einer Anfrage im Mailpostfach, Speichern in einer Datenbank, etc.), der muss darauf hinweisen. Ebenso darauf, wie mit den Daten verfahren wird und wie lange sie gespeichert werden. Am besten baut man hierzu im Kontaktformular einen Haken für die Datenschutzerklärung ein (z.B. mit dem Plugin WP GDPR Compliance) und weist mit einem kurzen Absatz direkt am Formular darauf hin.  Dieser könnte zum Beispiel folgendermaßen aussehen:

Ja, ich habe die Datenschutzerklärung (Link zur Datenschutzerklärung) zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben und gespeichert werden.

Meine Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung meiner Anfrage benutzt. Mit dem Absenden des Kontaktformulars erkläre ich mich mit der Verarbeitung einverstanden. Nach Abschluss der Verarbeitung werden die erhobenen Daten gelöscht, insofern diese nicht für die weitere Bearbeitung der Anfrage oder eines daraufhin entstandenen Auftrags weiter benötigt werden.

Für den Loginbereich lässt sich das nun direkt mit WordPress 4.9.6 erledigen, indem man unter Einstellungen>Datenschutz die Datenschutzerklärung auswählt. Diese wird dann unter dem Loginfeld gezeigt. Ich würde WordPress empfehlen hier auch noch das Impressum verlinken zu können. Wer dann noch den Loginbereich per Securitymaßnahmen versteckt, der sollte auf der absolut sicheren Seite sein.

Hinweis: Hier sind übrigens auch Anwälte nicht einer Meinung. Es gibt Anwälte, die empfehlen ganz klar das Datenschutzhäkchen, andere wiederum sagen, es gibt keine rechtliche Grundlage, die ein Häkchen vorsieht. Es müsse lediglich auf den Datenschutz und die verarbeiteten Daten hingewiesen werden. Ich persönlich würde eher auf Nummer sicher gehen. Muss aber jeder für sich selbst abschätzen.

3. SSL Verschlüsselung von Formularen

Onlineformulare müssen zwingend verschlüsselt werden. Das bedeutet eine SSL Verschlüsselung einer WordPress Webseite sollte bis zum 25.5.18 erledigt sein.

4. Datenschutzerklärung erneuern

Eine Datenschutzerklärung war schon lange Pflicht. Allerdings verlangt die DSGVO eine deutlich umfangreichere Fassung, in der wirklich über alle Dienste und Wege der personenbezogenen Datenverarbeitung aufgeklärt wird. Die neue Datenschutzerklärung erstellt man am besten mit guten Online Generatoren (zum Beispiel Dr. Schwenke oder e-Recht24.de) oder fragt den Anwalt des Hauses.


Tipp: Als Agentur-Partner von e-Recht24.de (* Partnerlink zu e-Recht24.de) empfehle ich, die Datenschutzerklärung über den dort verfügbaren Datenschutzgenerator zu erstellen. Im Laufe der letzten Monate hat sich e-Recht24.de immer mehr als die Referenzseite im Netz positioniert, wenn es um die DSGVO geht. Selbst Datenschützer haben mir den Service von e-Recht24.de empfohlen, so dass ich ruhigen Gewissens meine Kunden dort hinschicken kann. Als Gewerbetreibender benötigt man einen Mitgliederzugang bei e-Recht24.de, um die Datenschutzerklärung erstellen zu können. Dieser ist allerdings jederzeit kündbar und bietet abseits der Datenschutzerklärung noch jede Menge andere Dienste und Informationen, die heutzutage wichtig sind um online rechtskonform unterwegs zu sein.


Der Hinweis, der alle Webseitenbesucher beim Aufruf einer Webseite über die Verwendung von Cookies aufklären soll, ist schon lange von Seiten von Google Pflicht. Wer Google Produkte wie Google Analytics oder Maps nutzt, der muss diesen Hinweis anzeigen. Mit der DSGVO ist dieser Hinweis aktueller denn je und gehört auf jede Webseite. Achtung Abmahnfalle! : Bitte darauf achten, dass der Cookie Hinweis den Link zur Datenschutzerklärung und zum Impressum im Footer nicht überdeckt.

6. Google Analytics datenschutzkonform einbauen

Google Analytics muss folgendermaßen in WordPress Webseiten eingebaut sein:

  • mit anonymisierter IP
  • Hinweis in der Datenschutzerklärung
  • Opt Out Möglichkeit in der Datenschutzerklärung (z.B. über Plugin oder folgendes Script)
  • Herabsetzung der Speicherdauer von Daten (direkt in GA bei jeder Webseite: Verwaltung>Property>Tracking-Informationen>Datenaufbewahrung)
  • AV mit Google (direkt in GA möglich)

Code für Google Analytics und dazugehöriger Opt Out Script (aufzurufen mit einem Link wie dem folgenden:

<a href="javascript:gaOptout();">Opt Out</a>

<script> 
    var gaProperty = 'UA-XXXXXXXX-X'; 
    var disableStr = 'ga-disable-' + gaProperty; 
    if (document.cookie.indexOf(disableStr + '=true') > -1) { 
        window[disableStr] = true;
    } 
    function gaOptout() { 
        document.cookie = disableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/'; 
        window[disableStr] = true; 
        alert('Das Tracking ist jetzt deaktiviert'); 
    } 
    (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){ 
            (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o), 
        m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m) 
    })(window,document,'script','https://www.google-analytics.com/analytics.js','ga'); 

    ga('create', 'UA-XXXXXXXX-X', 'auto'); 
    ga('set', 'anonymizeIp', true); 
    ga('send', 'pageview'); 
</script>

Bei anderen Trackingdiensten sieht es für mich nicht anders aus. Also völlig egal über welchen Dienst getracked wird, die obenstehenden Pflichten sind zu erfüllen. Anleitungen hierzu findet man sicher auch im Netz. Ich habe mich aufgrund der weiten Verbreitung auf Google Analytics beschränkt (so wie die anderen Ratgeber auch 😉 ).

Übrigens ist es bei weitem nicht so, dass nicht Anbieter außerhalb der EU als Datenverarbeiter genutzt werden dürfen. Wichtig ist sicherzustellen, dass das Datenschutzniveau entsprechend hoch ist. Bei Google Analytics ist das auf jeden Fall der Fall, da Google Mitglied des EU-US-Privacy-Shields ist.

Bitte beachten: Wer in der Vergangenheit mit Google Analytics gearbeitet hat und dort keine Anonymisierung genutzt hat, müsste diese historischen Daten eigentlich löschen.

7. Externe Scripte und Schriften lokal laden

Ein Problem für WordPress Webseitenbetreiber ist es, dass häufig externe Scripte (wie jQuery) oder auch Schriften (wie Google Fonts) von externen Servern geladen werden. Durch das Laden werden bereits Daten mit dem Server ausgetauscht, der die Scripte bereitstellt. So zum Beispiel die IP Adresse des anfragenden Rechners oder Endgeräts. Daher sollten diese Scripte wenn möglich lokal geladen werden. Ist das nicht möglich, besteht in meinen Augen eine „Ausrede“, wenn ein sogenanntes „berechtigtes Interesse“ des Webseitenbetreibers besteht dieses Script weiterzuverwenden. Ein Interesse wäre es, die Webseite überhaupt weiter betreiben zu können, wenn durch Weglassen des Scripts die Funktion nicht mehr gewährleistet wäre und keine andere Lösung seitens des Anbieters möglich ist. Ob das wasserdicht ist, kann ich nicht sagen.

Bei Schriften wie Google Fonts, kann man lokal laden und das Laden von externen Servern unterbinden. WordPress Premium Themes laden gerne direkt vom Server von Google. Ich denke auch hier werden einige Theme-Hersteller  nachbessern um DSGVO-konform zu werden. Aber bis dahin ist Handarbeit angesagt (oder der Verzicht auf die Fonts und Verwendung von Standardschriften), wenn man externes Laden unterbinden will.

Ob Google Fonts wirklich ein rechtliches Problem darstellen, ist nach wie vor umstritten. Die Damen und Herren von e-Recht24.de sehen das offensichtlich lockerer: Hier kann man im Rahmen des Datenschutzgenerators auch einen Passus für die Google Fonts einfügen, der besagt, dass…

[…]Die Nutzung von Google Web Fonts erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.

Nach einem Gespräch mit einem Anwalt bin ich leider nicht schlauer: Er empfiehlt das Laden der Scripte und Fonts lokal vom Webserver. Von daher bleibt die Entscheidung hier weiterhin jedem selbst überlassen. Es gibt schlicht kein „best practice“ bis heute.

Beispiel für lokales Laden von Google Fonts

Zuerst müssen die Webfonts heruntergeladen werden. Das macht man am besten über den Google Webfonts Helper. Dort erhält man sowohl alle Schriftschnitte, als auch den Code für die lokale Einbindung. Nach dem Laden der Google Fonts in einen Ordner auf dem Webserver, muss man mit folgendem CSS Code diese laden (hier ein Beispiel anhand der Schrift „Maven Pro“):

<style>
@font-face {
font-family: ‚maven_pro_light_300regular‘;
src: url(‚fonts/mavenprolight-300-webfont.eot‘);
src: url(‚fonts/mavenprolight-300-webfont.eot?#iefix‘) format(‚embedded-opentype‘),
url(‚fonts/mavenprolight-300-webfont.ttf‘) format(‚truetype‘),
url(‚fonts/mavenprolight-300-webfont.woff‘) format(‚woff‘),
url(‚fonts/mavenprolight-300-webfont.svg#maven_pro_light_300regular‘) format(’svg‘);
font-weight: normal;
font-style: normal;
}
</style>

Anschließend muss man noch das Laden von Google Fonts unterbinden, wenn diese vom Theme automatisch vom Google Server geladen werden. Das kann man zum Beispiel über das Plugin „Remove Google Fonts References“ bewerkstelligen. Danach kann man noch prüfen, ob auch wirklich keine Schriften mehr von Extern geladen werden. Das hat zum Beispiel wp-ninjas.de beschrieben.

8. Newsletterversender wie Mailchimp

Viele WordPress Webseitenbetreiber nutzen Mailchimp oder andere Dienste für deren Newsletter. Gerade wenn diese Dienstleister nicht in der EU sitzen, ist hier Handlungsbedarf vorhanden. Was definitiv getan werden muss:

  • Datenschutzerklärung um Passus zu Mailchimp oder anderen Newsletterversendern erweitern
  • Double Opt In Verfahren nutzen
  • Auftragsverarbeitungsvertrag schließen (z.B. hier bei Mailchimp zu finden)
  • Bei Adressgenerierungs-Feldern muss ebenso wie bei Kontaktformularen auf die Datenverarbeitung hingewiesen werden, bzw. sollte hier auch ein Kontrollkästchen verwendet werden

Viele Ratgeber raten generell von Anbietern im nicht EU-Ausland ab. Aber das halte ich für übertrieben und auch nicht realistisch. Es gibt noch keine Rechtssprechung, ob Anbieter wie Mailchimp genutzt werden dürfen oder besser gesagt nicht genutzt werden dürfen. Daher würde ich hier erstmal keine Panik kriegen. Ob andere EU Anbieter hier besser aufgestellt sind, ist nicht sicher.

Plugin „Mailchimp for WordPress“ DSGVO konform nutzen

Mit dem Plugin „Mailchimp for WordPress“ kann man Newsletter-Anmeldeboxen erstellen um neue Newsletter-Abonnenten zu generieren. Damit diese Anmeldeboxen DSGVO konform sind, muss ein Kontrollhäkchen eingefügt werden. Leider kann dass das Plugin derzeit noch nicht. Es gibt aber einen Workaround: Im Formular-Editor kann man folgenden Code vor dem Sendenbutton einfügen und mit eigenem Text versehen. Und schon ist das Formular DSGVO compliant.

<p>
<label><input type="checkbox" name="AGREE" value="1" required> Ja, ich habe die Datenschutzerklärung (Link zur Datenschutzerklärung) zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben und gespeichert werden. Meine Daten werden dabei nur streng zweckgebunden zur Verwaltung und Versendung des Newsletters verwendet. Mit dem Absenden des Kontaktformulars erkläre ich mich mit der Verarbeitung einverstanden. Die Einverständniserklärung kann jederzeit per E-Mail an meine@email.de und am Ende jedes Newsletters durch Betätigen des Abbestellen-Links widerrufen werden.</label>
</p>

9. iFrames nicht mehr nutzen

Viele nutzen externe Dienste per iFrame in ihrer Webseite (z.B. externe Shops oder Snippets für Widgets (Wetter, Aktienkurse, etc.)). Das ist in Hinblick auf die DSGVO sehr zweifelhaft, da keine Kontrolle über die dort angezeigten Inhalte besteht. Was geladen wird, wird von der externen Webseite bestimmt und kann ggfs. nicht konform sein. Daher wird empfohlen, diese iFrames nicht mehr zu nutzen.

10. Online Shops

Auch Online-Shops, wie z.B. WooCommerce, müssen schon lange datenschutzkonform sein. Wichtig auch wegen der DSGVO zu prüfen, ob im Kaufprozess alles valide ist und der Aufklärungspflicht nachgekommen wird. Es werden definitiv benötigt:

  • Hinweis in Datenschutzerklärung (z.B. auf externe Zahlungsanbieter wie Paypal)
  • Hinweis auf Datenschutz im Checkout, am besten mit Bestätigungs-Häkchen für die Datenschutzerklärung (wie bei ABGs)
  • Abschluss von Auftragsverarbeitungsverträgen mit Zahlungsanbietern oder Empfängern von Kundendaten (z.B. zum Versand von Produkten)

11. Plugins

Wie immer sind die Plugins das Schlimmste, was einer WordPress-Webseite passieren kann: Durch sie kann eine noch so datenschutzkonforme Webseite regelwidrig werden. Dann, wenn der Pluginhersteller personenbezogene Daten sammelt und wenn genau das nicht zu unterbinden ist. Weil der Pluginhersteller das nicht beachtet oder weil es ihm evtl. egal ist. So zum Beispiel das klassische Sammeln von Verbindungsdaten (IP) für statistische Zwecke oder für das Nachladen von Scripten. Hier sollten Pluginhersteller langfristig Sorge tragen, DSGVO-konform zu sein. Aktuell sind es sicher nicht alle. Gerade die Hersteller aus dem Ausland haben die DSGVO nicht unbedingt auf dem Schirm.

WordPress Webseitenbetreiber sollten die verwendeten Plugins durchsuchen und mit Testseiten auf DSGVO-Konformität hin vergleichen. Blogmojo.de listet über 120 häufig verwendete Plugins auf und beschreibt die Datenschutzkonformität. Sind einige Plugins unklar, wenden Sie sich am besten an den Webseitenentwickler.

Typische Plugins, die nach der DSGVO Probleme machen

  • Social Media Plugins
  • Plugins, die Analytics einbindet
  • Securityplugins
  • Newslettergenerierungs-Plugins (z.B. Mailchimp)
  • Fonts-Plugins
  • Google Maps Plugins

Bitte beachten Sie, dass nicht alle Plugins sofort gelöscht werden müssen. Wie gesagt, gibt es hier noch keine rechtlichen Erfahrungen. Gerade Securityplugins sind ebenso wichtig für den Datenschutz und müssen ggfs. nur anders eingestellt werden. Sprechen Sie hierzu am besten Ihren WordPress-Partner an.

12. Pixel und Tracking von externen Plattformen wie Facebook

Wer Marketing betreibt, möchte Erfolge tracken. Dazu werden häufig Trackingpixel in der Webseite eingebaut. Diese sind kritisch zu sehen, da durch sie bereits IP Daten zwischen den Servern getauscht werden und Profile erstellt werden. Daher rate ich generell von der Nutzung dieser Trackingmethoden ab. Müssen sie verwendet werden, fragen Sie bei der entsprechenden Plattform nach einer DSGVO-konformen Art der Einbindung. Zumindest muss ein Hinweis in der Datenschutzerklärung vorhanden sein.

Übrigens: Um herauszufinden, was überhaupt auf der eigenen Webseite so läuft, gibt es das praktische Browser-AddOn „Ghostery“, welches alle geladenen Tracker anzeigt. Diese können dann im Nachgang entfernt werden, wenn das denn möglich ist. Bei Unklarheit fragen Sie auch hier Ihren WordPress-Partner.

13. Chatsysteme

Manch einer hat schon Chat-Systeme im Einsatz, die parallel zu WordPress laufen. Vergessen Sie nicht, auch hier die Datenschutzkonformität zu prüfen, gegebenenfalls eine AV abzuschließen und in der Datenschutzerklärung darauf hinzuweisen.

14. Securitymaßnahmen

Normalerweise sollte sowieso jede WordPress-Webseite abgesichert werden. Im Hinblick auf die DSGVO sollte aber mehr denn je darauf geachtet werden, dass die eigene Webseite nicht gehacked wird. Fragen Sie im Zweifelsfall Ihren WordPress-Fachmann, ob hier bereits alles getan wurde.

15. Einbinden von Videos

Wer Youtube Videos oder Videos von anderen Anbietern einbindet (über iFrame oder über die URL in WP), der tauscht mit dem Youtube Server Daten aus. D.h. eigentlich ist das so nicht zulässig. Zumindest sollte eine AV mit Youtube / Google geschlossen werden. Es gibt ein Plugin namens Embed Videos and Respect Privacy, welches die Einbindung datenschutzkonform macht oder man bindet die Videos selber korrekt ein, wie hier beschrieben.

Der Chefblogger hat zudem ein kleines Plugin entwickelt, welches Vimeo Einbettungen DSGVO konform macht.

Ansonsten kann man natürlich weiterhin problemlos selber Videos hosten, insofern man ein gutes Plugin findet, welches browserübergreifend funktioniert. Das ist nämlich leider gar nicht so einfach.

16. Backup in externe Systeme (wie Cloudservice; z.B. Dropbox)

Backups können problemlos lokal oder auf Cloud Services oder externe Server gespeichert werden. Sobald aber personenbezogene Daten gespeichert werden (wie z.B. Kundendaten in der Datenbank, Logfiles, etc.) muss eine AV mit diesem Service vereinbart werden. Generell würde ich aber davon abraten extern zu speichern, vor allem dann, wenn der Cloudspeicher außerhalb der EU sitzt (was meistens der Fall ist). Außer man nutzt einen DSGVO-konformen Clouddienst.

17. Kommentare anonymieren und Checkbox setzen

Wer Kommentare von Usern auf seiner WordPress-Webseite erlaubt, der muss diese Kommentare anonymisieren. Und dafür Sorge tragen, dass frühere Daten ebenso anonymisiert werden in der WP Datenbank.

Hier der Code zum Anonymisieren von WordPress Kommentaren:

function wpb_remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Alternativ kann man auch das Plugin „Remove Comment IPs“ verwenden.

Zudem sollte man auch dem Kommentarfeld einen Datenschutzhinweis hinzufügen. Hierzu kann man das Plugin „WP GDPR Compliance“ nutzen. Bei wem das nicht funktioniert, der kann einen Hinweis direkt in die comments.php des Themes eintragen. Allerdings ist diese Lösung nicht optimal, da das Häkchen fehlt. Jedoch natürlich besser als nichts. Laut WordPress kam mit der Version 4.9.6 diese Funktion mit. Leider habe ich noch keine Funktion im Dashboard gefunden, das zu aktivieren.

18. Gravatare deaktivieren

In WordPress können sogenannte Gravatare genutzt werden. Dieser Service ordnet ein Benutzerbildchen einer E-Mail-Adresse zu. Die Kommunikation der Webseite läuft über den externen Gravatarserver, dabei werden IP Daten getauscht. Das ist so nicht zulässig und sollte deaktiviert werden unter: Einstellungen>Diskussion>Avatare.

19. Emojis deaktivieren

Wer einen Smiley in WordPress veröffentlicht, der zeigt auf seiner Webseite einen richtigen Emoji an, der anhand verschiedener verwendeter Zeichen generiert wird (Beispiel: 😉 ). Beim Abruf des Emojis werden ebenso wie bei den Gravataren IP Daten getauscht. Verhindern kann man das mit dem Plugin „Disable Emojis„. Alternativ per Code in der functions.php:

remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
remove_action( 'admin_print_scripts', 'print_emoji_detection_script' );
remove_action( 'wp_print_styles', 'print_emoji_styles' );
remove_action( 'admin_print_styles', 'print_emoji_styles' );

20. Google Maps

Zur Verwendung von Google Maps sollte ein Hinweis in der Datenschutzerklärung verfasst werden. Mit den üblichen Datenschutzgeneratoren ist das kein Problem. Ob die Verwendung ansonsten aber dann OK ist, darüber lässt sich derzeit wie in vielen anderen Punkten keine klare Meinung finden. Fakt ist, dass bei der Nutzung von Google Maps auch Cookies geladen werden. Google selbst verspricht aber eine Lösung zeitnah anzubieten.

In der Zwischenzeit kann man seine WordPress Webseite so erweitern, dass Google Maps nur nach extra Klick auf die Karte aktiv werden. So muss der User also selbst bestätigen, dass die Nutzung von Maps OK ist. Das kann man mit dem Plugin „Extra Privacy for Elementor“ machen, wenn man den Elementor Pagebuilder verwendet. Oder aber man nutzt „Borlabs Cookie“ um generell eine Einwilligung für die Verwendung von Cookies einzuholen.

Fazit zur Checkliste:

Das war’s oder? Mit diesen 20 Punkten sind wir durch und können der DSGVO entspannt entgegnen!

Nein leider nicht…es gibt so viele verschiedene Punkte, die noch wässrig sind. So viele technische Dinge, die unklar sind und unlösbar erscheinen (Einiges habe ich gar nicht erst erwähnt, weil der Aufwand riesig und die rechtliche Lage vollkommen unklar ist). Erst die Zeit wird zeigen, wo wirklich die Fallstricke sind. Worauf sich die klassischen Abmahnanwälte stürzen werden und worauf Behörden besonders achten bei Webseiten. Diese Checkliste ist ein Anfang und mit der Umsetzung sollte Einiges für den Datenschutz ansich getan worden sein. Mal ganz unabhängig von der DSGVO. Wie viel und was alles noch zusätzlich in den nächsten Jahren geleistet werden muss…das weiß niemand derzeit.



Allgemeine Hinweise und Richtlinien zur DSGVO

Die Checkliste behandelt hauptsächlich die technische und inhaltliche Basis einer (WordPress) Webseite. Es gibt aber auch noch einige Punkte abseits dieser Checkliste, die Unternehmen und Webseitenbetreiber aufgrund der neuen Datenschutzgrundverordnung beachten oder leisten müssen. Hier nur ein Überblick, da wie bereits schon erwähnt, viele andere Webseiten bereits umfassende Informationen bereitgestellt haben:

AV – Auftragsverarbeitungsvertrag

Wer mit Dienstleistern oder Personen zusammenarbeitet, die in deren Auftrag oder für sie personenbezogene Daten verarbeitet oder speichert, der muss einen Auftragsverarbeitungsvertrag  abschließen. In der Regel tut dies der Auftraggeber mit dem Auftragnehmer. In manchen Fällen macht es aber auch andersherum Sinn. Ich habe meinen Kunden ein AV zur Verfügung gestellt, da diese vermutlich Schwierigkeiten haben werden, die technischen Rahmenbedingungen des Auftrags korrekt zu erfassen und zu dokumentieren. Mir selbst fällt das auch schwer, aber sicherlich leichter als meinen Kunden.

Typische Stellen, mit denen ein AV geschlossen werden muss:

  • Dienstleister von Analysewerkzeugen (Google Analytics)
  • Bezahlanbieter Shop
  • Social Media Kanäle mit Marketingfunktionen (Facebook)
  • Newsletterversender
  • Webhoster!
  • Cloudanbieter
  • Videokonferenzsysteme
  • Fotografen (Bilddaten können auch personenbezogen sein)
  • Werbeanbieter
  • Externe Mitarbeiter
  • Firewallanbieter
  • Abodienstleister
  • Buchhalter
  • Druckereien
  • Partner von Gewinnspielen
  • Anwälte
  • Personaldienstleister (Mitarbeiter haben auch personenbezogene Daten)
  • Telemarketingagenturen
  • Chatdienstleister
  • Marktforschungsunternehmen
  • Subdienstleister (zum Beispiel Agenturen, die Arbeit an fremde Entwickler auslagern)

Man sieht, es gibt etliche Stellen, wo Daten verarbeitet werden. Das ist nur ein kleiner Auszug aus dem, was theoretisch nötig ist. Eine Übersicht häufig verwendeter Dienste, mit denen man einen AV abschließen sollte, findest du hier.

Verfahrensverzeichnis/Verarbeitungstätigkeiten

Unternehmen, die personenbezogene Daten regelmäßig speichern oder verarbeiten, müssen ein Verfahrensverzeichnis führen und Verarbeitungstätigkeiten dokumentieren (Muster). D.h. für jede Stelle an der personenbezogene Daten verarbeitet werden, muss eine Dokumentation vorhanden sein, die zum Beispiel folgendes erklärt:

  • Wieso werden die Daten erfasst?
  • Wer ist verantwortlich?
  • Wie werden die Daten erfasst?
  • Wozu werden die Daten erfasst?
  • Was passiert mit den Daten?
  • Wann werden sie gelöscht?

Je nach Aktivitäten im Bereich Marketing kann das schon richtig aufwändig werden. Idealerweise verbindet man das Ganze direkt mit einem internen System für die Historienüberwachung von Formularen. Das bedeutet: In der Regel werden Daten über Formulare erfasst (Print oder Online). Die aktuelle Rechtslage sagt, dass man die Quelle von Daten belegen muss. Lückenlos. Das bedeutet also auch, dass ein reiner Zeitstempel und zum Beispiel eine URL eines Online Formulars nicht ausreicht um nachzuweisen, wie genau die Adressen generiert wurden. Hier macht es Sinn, wenn Online Formulare ausgedruckt und mit Zeitstempel versehen abgelegt werden. Ändert sich das Formular, sollte direkt das Gleiche wieder passieren. Das sollte im Falle der Nachfrage nach der Quelle von Daten (zum Beispiel wenn ein Newsletter-Abonnent wissen möchte, wo das Opt In generiert wurde) für schnelle Aufklärung und weniger potentielle Abmahngefahr sorgen.

Printformulare, wie zum Beispiel Bestellkarten, sollten gescannt oder physisch aufbewahrt werden (10 Jahre Aufbewahrungspflicht von Dokumenten von Geschäftsvorfällen nicht vergessen).

Datenschutzhinweise bei Stellenauschreibungen

Wer online Stellen ausschreibt und dazu Formulare anbietet, sollte gezielt darauf hinweisen, was mit den Bewerbungsdaten passiert und wie lange diese gespeichert werden. Generell macht es Sinn einen Autoresponder und eine Autosignatur im Mailprogramm einzurichten, wo darauf hingewiesen wird, wie mit Daten umgegangen wird, die per Mail einlaufen. Die Formulierung sollte ähnlich sein, wie bei den Online Formularen (siehe oben).

Versand von personenbezogenen Daten verschlüsseln

Bitte beachten Sie, dass Sie personenbezogene Daten ausschließlich verschlüsselt versenden (mind. Passwortschutz und/oder verschlüsselt zippen). Weisen Sie auch externe Partner darauf hin.

Datenlöschung/Recht auf Löschung/Auskunftsrecht

Ihre Kunden haben ein Recht auf Datenlöschung und auf Auskunft. Bitte beachten Sie, dass sich der Anfrage erst einmal selbst authentifizieren muss, bevor Sie ihm seine bei Ihnen gespeicherten Daten zur Verfügung stellen können. Das ist zum Beispiel über eine Kopie des Personalausweises möglich, in der die meisten Daten geschwärzt sind. Der Name sollte ausreichend sein. Daten zu löschen ist nur dann möglich, wenn die Aufbewahrungsfrist von 10 Jahren bei Geschäftsvorfällen abgelaufen ist. Ist kein Geschäftsvorfall anhängig, kann sofort gelöscht werden. Um Historien zu erhalten, sollte auch eine Anonymisierung der Daten möglich sein.

Newsletter an Kunden

Newsletter dürfen nur an Personen mit Double Opt In geschickt werden. Kunden dürfen im Rahmen der Kundenbeziehung und im Rahmen der Bearbeitung eines Auftrags angeschrieben werden. Fremdwerbung ist an Kunden nicht zulässig. Redaktionelle Inhalte sollte nicht an Kunden geschickt werden, wenn diese kein explizites Interesse dafür haben (Double Opt In).

Kopplungsverbot

Viele bieten gegen E-Mail-Adressen Dienstleistungen oder Waren an (z.B. e-Books oder einen generellen Download(bereich)). Mit der DSGVO ist das leider nicht mehr zulässig. Ab sofort darf niemand mehr zur Abgabe personenbezogener Daten gezwungen werden, wenn er dafür eine kostenlose Gegenleistung erhält. Tipp hier im Falle eines Downloads: Nicht den Download primär bewerben, sondern eher den Newsletter und dort den Download hervorheben. Auf das Wörtchen „kostenlos“ sollte verzichtet werden, da ja die Datenabgabe bereits ein „nicht kostenlos“ impliziert.

Früher möglich (und jetzt nicht mehr erlaubt):

„Bitte trage dich für meinen Newsletter ein und als Gegenleistung erhältst du den Download XY kostenlos.“

Jetzt besser

„Kennst du schon unseren Newsletter? Jetzt eintragen. Übrigens: Meine Newsletter-Abonnenten haben Zugriff auf tolle Downloads, wie das e-Book XY…“

Gewinnspiele

Bei Gewinnspielen sollte ein Hinweis gegeben sein, der besagt, dass die Daten ausschließlich zur Ermittlung der Gewinnspielteilnehmer verarbeitet und anschließend gelöscht werden. Ist ein Double Opt In für Werbung hier zusätzlich gegeben, dürfen diese darüber generierten Adressen natürlich weiterhin genutzt werden.

Werbung/AdSense

Viele Webseitenbetreiber setzen Werbung ein um Einkünfte zu generieren. Bis heute ist es nicht 100% klar, ob und wie Anzeigen datenschutzkonform eingesetzt werden können. Anbieter wie Google mit AdSense setzen Cookies ein um ihre Werbung gezielt auszuliefern und so am Ende für Vermarkter und Websitebetreiber mehr Umsatz zu gewährleisten. Das ist eigentlich mit der DSGVO nicht ganz zu vereinbaren. Allerdings hat man auch ein berechtigtes Interesse Einkünfte mit einer Webseite zu generieren, die den Fortbestand des Angebots überhaupt erst gewährleisten. Evtl. wiegen aber die Nutzerinteressen schwerer als die Interessen der Webseitenbetreiber.

Google möchte rechtzeitig eine Lösung präsentieren, die aber ggfs. sogar den Webseitenbetreiber in die Pflicht nimmt und ein Opt In für personalisierte Werbung voraussetzt. Ansonsten wird nur unpersonalisierte Werbung ausgespielt, was am Ende zu Umsatzeinbußen führt. Ich bin mir sicher, dass Google hier etwas sinnvolles anbieten wird, weil es hier ganz klar an das Kerngeschäft von Google geht.

Eine Lösungsmöglichkeit für WordPress wäre ein Opt In für Cookies über das Plugin „Borlabs Cookie“ einzubauen.

Tracker und Opt Out

Man sollte für jeden Tracker (Google Analytics, Piwik, Adobe Analytics, eTracker, Hotjar, …) auf seiner Webseite in der Datenschutzerklärung Informationen bereitstellen. Zudem wenn möglich die Opt Out Möglichkeit einbauen (siehe Google Analytics). Eine Liste aller Tracker und der dazugehörigen Opt Out-Möglichkeiten findest du hier. Alternativ siehe letzten Punkt das generelle Opt Out anbieten.

Datenpanne

Im Falle einer Datenpanne (Klau von personenbezogenen Daten, externer Zugriff auf sensible Kundendaten, etc.) muss innerhalb von 72 Stunden die Aufsichtsbehörde benachrichtigt werden. Ansonsten drohen auch hier empfindliche Strafen.


Fazit zur DSGVO

Man sieht an diesem Artikel, wie viel man darüber schreiben kann, wie viel Vermutung ist und wie viel auch ein Stück weit Angst zu wenig getan zu haben. Webseitenbetreiber und Entwickler sitzen hier mehr oder weniger im selben Boot. Beide sind dafür verantwortlich, dass die eigene Webseite oder (zumindest im Falle des Webentwicklers) die Webseite des Kunden DSGVO-konform ist. Natürlich wird es nie eine 100%-ige Sicherheit geben, aber wer meine Checkliste abarbeitet sollte eine gute Basis haben um das Groß an zu erwartenden Rechtsproblemen zu vermeiden. Eine Garantie, dass das so ist, kann ich nicht geben. Hier verweise ich erneut auf externe Rechtsberatung und die Einschaltung von Datenschutzbeauftragten.

Letzte Version vom 24. August 2018 von Netzgänger
Jetzt WordPress Newsletter in dein Postfach

Melde dich jetzt für meinen Newsletter an und du erhältst regelmäßig Tipps und Tricks zu WordPress in dein Postfach. Natürlich kannst du ihn jederzeit abbestellen.


12 Kommentare

  1. Gerd sagt:

    Hallo Rene,

    danke für diese Übersicht und Zusammenfassung. Dazu noch zwei Fragen:

    1. Wo hast du dein Google Opt-Out eingebaut?
    2. Warum sind manche Namen hier ausgegraut bei den Kommentaren?

    Danke,
    Gerd

  2. Tolle Checkliste auch mit guten Hinweisen.

  3. maurice sagt:

    Danke für die schöne Übersicht.

    Ein kleiner Hinweis: imho werden keine Mailadressen an Gravatar übertragen. Diese sollten eigentlich vor dem Senden in einen s.g. md5-hash umgewandelt werden. Der ist dann auch nicht mehr zu entschlüsseln. Die IP wird beim Abruf des Bildes aber natürlich trotzdem übertragen.

  4. Tanja Volk sagt:

    Dies ist die beste, schlüssigste und ausführlichste Übersicht über alle Änderungen, die ich bisher gesehen habe!

    Vielen Dank für den tollen Beitrag!

  5. Matthias sagt:

    Oh Mann,
    danke für den Beitrag. Und wieder ein paar Punkte mehr auf der Liste des Albtraums. Immerhin hat Google jetzt 10 Tage vor dem Stichtag auch Mal was von sich verlauten lassen.
    Das kann ja heiter werden.
    Der Punkt mit den Gravataren ist in der Tag interessant. Ich hab den in meiner Datenschutzerklärung abgefrühstückt. Aber ich warte auch noch darauf, dass Automaticc da sich bewegt.
    Aber Du hast in der Tat Recht: Da werden ja E-Mail-Adressen übermittelt – Selbst, wenn sie dann nicht angezeigt werden. Seufz…

  6. Tom sagt:

    Hallo René,
    vielen Dank für den hilfreichen Artikel!
    Ich habe eine Frage zum Bereich „Google Analytics datenschutzkonform einbauen“. Deinen genannten Code habe ich übernommen und in meine Seite verbaut. ‚UA-XXXXXXXX-X‘ habe ich natürlich angepasst.
    Nur verstehe ich nicht ganz: Was & wo soll jetzt auf der Seite passieren, dass die User das Tracking deaktivieren können?
    Vielen Dank!
    Tom

  7. HGG sagt:

    Hallo,
    danke – super Artikel…
    Viele Grüße

  8. Mario sagt:

    Cookies und Datensammelprogramme sind in aller Munde. Überall geht es darum, wie man Cookies löschen kann. Ich will aber wissen: ist es möglich, zu verhindern, dass Cookies auf meiner Webseite aktiv werden und Daten der Nutzer einsammeln? Es ist doch verrückt: meine eigene Webseite sammelt ungefragt Daten ein, so dass ich einen Cookie-Hinweis schalten muss, obwohl ich das gar nicht will! Es müßte doch irgendwie möglich sein, zu verhindern, dass meine eigene Webseite Nutzer ausspioniert.

    • Das kommt darauf an, wie die Webseite gestaltet wurde und welche Software dort läuft. Man kann natürlich eine Webseite ohne Cookies erstellen. Sobald man aber Software von Extern lädt, werden meist auch Cookies erzeugt. WordPress, Google, Facebook, etc. Alle sammeln derzeit noch Daten und legen Cookies ab. Was Stand heute auch noch ganz OK ist. Wie lange noch, ist die andere Frage.

  9. xar61 sagt:

    Sollte mich nicht wundern, wenn man eines Tages lesen muss “ Diese Webseite fiel der DSGVO zum Opfer “
    Aus meiner persönlichen Sicht, kam die DSGVO viel zu früh. denn man hätte zu aller aller erst “ den zahnlosen Tiger ein SVK Gebiss schenken sollen, …

  10. André B sagt:

    Danke für diesen guten und hilfreichen Beitrag!

Kommentar schreiben

Mit Absenden deines Kommentars erklärst du dich mit der Verarbeitung deiner hier angegebenen Daten einverstanden (Datenschutzerklärung). Diese werden nur zur Verwaltung der Kommentare verwendet und keinem anderen Zweck zugefügt. Du kannst jederzeit per E-Mail an info@netz-gaenger.de der Speicherung deiner Daten widersprechen.

* Notwendige Angaben

Netzgänger Webdesign | Rohrersmühlstraße 22 in Schwabach | Bayern
Kontakt: info@netz-gaenger.de
↑ oben
Inhalt