So machst du WordPress kompatibel mit DSGVO

 

Vermutlich hast Du schon von der kommenden DSGVO gehört? Da diese so gut wie alle Webseitenbetreiber betrifft, haben wir uns etwas intensiver mit dem Thema beschäftigt. In diesem Artikel versuchen wir so gut wie möglich zu erklären, wie Du WordPress auf die Datenschutz-Grundverordnung vorbereiten kannst.

Was ist die DSGVO?

Mit der Datenschutz-Grundverordnung (DSGVO) wird ein einheitliches Datenschutzrecht für die gesamte Europäische Union eingeführt. Die Verordnung gilt ab dem ab dem 25.05.2018 und regelt die Verarbeitung von personenbezogenen Daten.

Bei Verstößen können Bußgelder in Höhe von bis zu 20 Millionen Euro  oder bis zu 4 Prozent des Umsatzes verhängt werden.

 

Was sind personenbezogene Daten?

Personenbezogene Daten sind Informationen, die sich konkret auf eine Person beziehen. Hier ein paar Beispiele:

  • Name
  • Anschrift
  • Bankverbindung
  • Email-Adresse
  • IP-Adresse

Allein schon durch das Speichern der IP-Adresse sind somit fast alle Webseitenbetreiber von der DS-GVO betroffen.

 

Für wen genau gilt die DSGVO?

Hier gibt es sicher einige Missverständnisse. Viele denken, nur große Unternehmen oder Online-Shops werden von der Neuregelung betroffen sein. Das stimmt so aber leider nicht.

Die DSGVO betrifft alle, die personenbezogene Daten erheben oder verarbeiten. Also auch Freelancer, Kleinunternehmer, Webseitenbetreiber, Blogger und Vereine.

Eine mögliche Ausnahme sind vielleicht rein private Blogs. Doch hier musst Du aufpassen. Denn sobald du Gewinnabsichten verfolgst oder Analyse-Tools nutzt, bist Du auch schon kein persönlicher Blogger mehr.

Wenn Du beispielsweise folgende Elemente auf Deiner Seite hast, wird Deine Seite nicht mehr als rein privat angesehen:

  • Werbebanner
  • Affiliate-Links
  • Google Analytics
  • Adsense

 

Was ist bei der Verarbeitung der Daten zu beachten?

  • Daten dürfen nur rechtmäßig erhoben und verarbeitet werden
  • Sie dürfen nur für den erhobenen Zweck genutzt werden
  • Datensparsamkeit: es sollen nur die wirklich benötigen Daten erhoben werden
  • Daten sollen nur so lange wie nötig gespeichert werden
  • die Sicherheit der Daten muss gewährleistet sein
  • die Verarbeitung muss dokumentiert werden

In Artikel 5 DSGVO kannst Du die Grundsätze für die Verarbeitung personenbezogener Daten ganz genau nachlesen.

Außerdem musst du noch folgendes beachten:

  • Benutzer müssen Dir Ihre Einwilligung zur Speicherung ihrer Daten geben
  • Du musst Benutzer genau informieren, was mit den Daten passiert
  • Der Benutzer muss seine Daten einsehen, berichtigen und auch löschen können

Hierfür bietet WordPress 4.9.6 einige Funktionen.

 

WordPress fit für die DSGVO machen

Viele Vorschriften gelten eigentlich schon seit längerem, wurden aber von vielen nicht oder nur teilweise umgesetzt.

Da die DSGVO auch mich betrifft, habe ich natürlich sehr intensiv recherchiert. Dabei habe ich sehr viele nützliche Informationen gefunden, doch einige Fragen sind für mich nicht vollständig geklärt.

Trotzdem möchte ich Dir einige praktische Tipps geben, worauf Du bei Deiner Webseite achten musst.

Bei meiner (unvollständigen) Checkliste handelt es sich um meine persönliche Einschätzung. Diese kann keine rechtliche Beratung darstellen oder ersetzen. Ich bin kein Anwalt und kann daher keine rechtsverbindlichen Auskünfte erteilen. Bei Fragen solltest Du Dich an einen Rechtsanwalt wenden.
So kannst du deine WordPress-Seite (aber nicht nur) mit DSGVO kompatibel machen:

SSL Verschlüsselung

Hast Du auf Deiner Seite beispielsweise Kontaktformulare? Oder sind Blog-Kommentare erlaubt? Dann werden personenbezogene Daten übertragen. Und Du musst als Webseitenbetreiber dafür sorgen, dass diese Daten auch sicher übertragen werden.

Genau dafür sorgt eine SSL Verschlüsselung. Diese ist eigentlich jetzt schon für die meisten verpflichtend. Falls Deine Seite noch kein grünes Schloss hat, solltest Du dies also bald angehen.

Zum Glück gibt es inzwischen kostenlose SSL-Zertifikate und auch die Umstellung ist schnell erledigt.

 

Google Analytics

Nutzt Du Google Analytics? Dann solltest Du solltest auf jeden Fall überprüfen, ob es auch rechtskonform eingebunden ist.

Damit Du das Analyse-Tool überhaupt rechtssicher verwendet werden darf, musst Du zuerst mit Google einen Vertrag zur Auftragsverarbeitung abschließen.

Das ist übrigens auch schon seit längerem nötig. Falls Du es vergessen haben solltest, kannst Du den Vertrag hier als PDF downloaden. Anschließend musst Du ihn unterschrieben an Google schicken.

Zum Schluss solltest du den Analytics-Code wie folgt überschreiben:

ga('set','anonymizeIp',true)

Durch den Zusatz anonymize wird die IP-Adresse des Surfers gekürzt und somit anonymisiert.

Zusätzlich solltest Du noch eine Opt-Out Möglichkeit anbieten. Dadurch kann der Benutzer per Klick festlegen, dass sein Besuch nicht von Google Analytics erfasst wird. Am schnellsten geht das mit dem WordPress Plugin Google Analytics Opt-Out.

 

Datenschutzerklärung

Wie schon bisher muss die Datenschutzerklärung immer gut erreichbar sein. Am besten als extra Punkt im Menü oben oder im Footer. Dabei aber unbedingt beachten, dass der Punkt nicht von einer Cookie-Bar oder einem Pop-Up Fenster überdeckt wird.

Besonders wichtig ist natürlich der Inhalt der Datenschutzerklärung. Hier musst Du auf alle individuellen Gegebenheiten Deiner Seite eingehen.

Wenn Deine Datenschutzerklärung aber wirklich vollkommen rechtssicher sein soll, musst Du einen Anwalt kontaktieren.

 

Hosting

Dein Provider hostet nicht einfach nur Deine Webseite, sondern speichert Zugriffe in den Server-Logs oder überträgt bzw. speichert Mails. Daher solltest Du mit ihm einen Vertrag zur Auftragsverarbeitung (AV) abschließen.

Viele Hoster bieten jetzt schon die entprechenden Formulare an, bei einigen muss man erst nachfragen.

 

Social Media Plugins

Viele Share- und Like-Buttons stellen automatisch eine Verbindung zu sozialen Netzwerken her. Daher solltest Du Dir Deine Seite genauer ansehen.

Nutzt Du Teilen-Buttons von Facebook oder Twitter? Oder vielleicht die Facebook-Box in der Sidebar? Diese müssen auf jeden Fall (schon jetzt) weg. Denn Sie stellen schon beim Aufrufen der Seite eine Verbindung zu Facebook her und übertragen persönliche Daten.

 

Kontaktformulare

Durch die DSGVO müssen auch Kontaktformulare angepasst werden. Auf jeden Fall müssen Formulare verschlüsselt sein (SSL) und der Absender sollte über die Verwendung seiner Daten informiert werden.

Einige Juristen gehen noch weiter und empfehlen, dass der Absender seine Erlaubnis zur Verwendung der Formulardaten erteilen muss. D.h. jedes Formular benötigt eine Checkbox mit Erklärbärtext, die vom Absender angehakt werden muss.

Die Umsetzung ist recht einfach: Dazu musst Du nur eine Checkbox mit dem Text als Pflichtfeld anlegen. Wenn Du viele Formulare hast, ist das Plugin WP GDPR Compliance eine sehr gute Lösung. Momentan unterstützt es Contact Form 7 und Gravity Forms.

Kommentare

Auch bei Blog-Kommentaren sollte der Benutzer seine Zustimmung erklären. Also muss hier ebenfalls vor dem Abschicken des Kommentars eine Checkbox mit Text eingefügt werden.

Hierfür kannst Du wie für Formulare das Plugin WP GDPR Compliance nutzen.

Ein weiteres mögliches Problem ist das Speichern der IP-Adresse. WordPress speichert diese nämlich standardmäßig zu jedem Kommentar in der Datenbank ab.

Somit werden wieder persönliche Daten gespeichert, was eigentlich vermieden werden soll. Andererseits wird die IP im Fall von z.B. beleidigenden Kommentaren zur strafrechtlichen Nachverfolgung benötigt. Leider gibt es bisher zu diesem Thema keine eindeutige und verbindliche Aussage.

Eine mögliche Lösung: Keine IP-Adresse mehr speichern oder sie zumindest nach einem gewissen Zeitraum löschen.

Um die IP-Adresse zukünftig nicht mehr zu speichern, genügt ein kleines Code-Snippet. Sie können es der Functions.php des Themas hinzufügen.

function wpb_remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Ich selbst nutze inzwischen das Plugin Remove Comment IPs. Damit werden die IP-Adressen automatisch nach 60 Tagen gelöscht.

 

Newsletter

Versendest Du Newsletter? Dann musst Du schon seit langem das Double Opt-in Verfahren anwenden. Zukünftig dürfen nur die wirklich erforderlichen Informationen als Pflichtfeld erhoben werden.

Wenn Du für den Versand einen externen Dienst nutzt, musst Du mit dem Anbieter einen AV-Vertrag abschließen. Falls Du einen Anbieter außerhalb der EU nutzt, gelten weitere Bestimmungen (Privacy Shield).

 

Services von Drittanbietern

Generell sind externe Services auf Deiner Webseite problematisch. Denn sie alle könnten persönliche Daten des Surfers ohne dessen Zustimmung übertragen und nutzen. Genau aus diesem Grund sollte man ja auch nicht den Facebook Like-Button einsetzen oder Analytics ohne rechtliche Absicherung.

Aber es gibt natürlich noch weitaus mehr Drittanbieter, an die man zunächst gar nicht denkt. Was ist z.B. mit der Nutzung von Webfonts oder Gravataren?

Google Fonts

Es gibt inzwischen kaum noch Webseiten, die auf Google Webfonts verzichten. Auch ich nutze die Schriften teilweise, da Systemschriften einfach nicht ganz so gut aussehen.

Allerdings wird beim Abrufen der Schrift eine Verbindung zum Google Font-Server hergestellt und dabei die IP-Adresse des Users übertragen. Ob und welche weiteren Daten dabei noch an Google gesendet werden, kann keiner so genau sagen. Legt man nun die DSGVO streng aus, dann dürften wir alle kein Google Fonts mehr nutzen.

Das Problem kann man aber lösen, in dem man die Schriftarten lokal auf dem eigenen Server speichert. Dabei sollte man vorher die Lizenzbedingungen prüfen, um mögliche Urheberrechtsverletzungen zu vermeiden. Oder man nutzt Systemschriften, die leider nicht ganz so toll aussehen.

Gravatare

Hast Du Dich schon mal gefragt, woher die Nutzerbilder bei den Blogkommentaren stammen? Diese werden durch den Service von gravatar.com automatisch der hinterlegten Email-Adresse zugeordnet. D.h. ein Benutzer registriert sich dort mit seiner Mail und hinterlegt ein Profil-Bild. Hinterlässt er einen Blog-Kommentar, stellt WordPress automatisch eine Verbindung zu Gravatar her und zeigt sein Bild an.

Falls auch das für die Einhaltung der DSGVO problematisch sein sollte, müsste man die Anzeige von Avataren deaktivieren. Zum Glück geht das recht einfach unter > Einstellungen > Diskussion > Avatare

Das sind nur 2 Beispiele. Es viele weitere externe Dienste, die häufig in WordPress selbst, in Themes oder Plugins seingebunden sind. Ich denke da z.B. an Font Awesome, jQuery, Emojis oder Google Maps. Auch Plugins, wie beispielsweise Askimet oder Jetpack sind schon jetzt problematisch.

 

Cookies

Mit Cookies sollte man grundsätzlich vorsichtig sein. Denn auch hier gilt: die Verarbeitung der persönlichen Daten darf nur rechtmäßig erfolgen. Die genauen Bedingungen werden in Art. 6 DSGVO genannt.

Am besten setzt Du also nur die wirklich notwendigen, die für den Betrieb der Seite erforderlich sind. Z.B. für den Warenkorb oder Mitgliederbereiche.

Eine genauere und schärfere Regelung wird noch mit der ePrivacy-Verordnung im nächsten Jahr folgen. Welche Regelung bis dahin gilt, ist momentan noch recht unklar.

Auf jeden Fall musst Du in der Datenschutzerklärung genau über die Nutzung von Cookies aufklären.

Auch wird empfohlen, ein sogenanntes Cookie-Banner zu nutzen. Dadurch wird der Nutzer über den Einsatz von Cookies informiert und kann Details in der Datenschutzerklärung nachlesen.

 

Es gibt eine Reihe weiterer Probleme bei der Änderung Ihrer Website, damit sie mit der DSGVO kompatibel ist. Wir werden versuchen, sie in einem zukünftigen Artikel zu behandeln.

Wir hoffen, dass die Informationen, die wir dir gegeben haben, nützlich sind und wenn du Hilfe brauchst… Schick uns eine Nachricht.

Kommen Sie näher an Qubis!

Wenn Sie Fragen haben, oder eine Klarstellung benötigen, können Sie uns einfach eine Nachricht senden.

Pin It on Pinterest