DSGVO – Leitfaden für WordPress Webseiten und Blogs

Die technische Umsetzung der EU-DSGVO/GDPR Schritt für Schritt erklärt
(Stand: 3. Mai 2018)

Zum 25. Mai 2018 tritt die EU-DSGVO (GDPR – General Data Protection Regulation), die Datenschutzgrundverordnung für Europa in Kraft und nahezu jeder Webseitenbetreiber ist von der Neureglung betroffen.

Ziel der technischen Umbaumaßnahmen und Anpassungen ist es, nur so wenig wie mögliche Daten ihres Webseitenbesuchers zu speichern, bzw. speichern zu lassen, und mit diesen verantwortungsvoll und sicher umzugehen.

Bitte beachten!
Da auch ich als Unternehmerin von den Änderungen durch die DSGVO betroffen bin und auch meine Kundenwebseiten angepasst werden, muss ich mich mit diesem Thema zwangsläufig auseinander setzen.

Dieser Beitrag stellt keine Rechtsberatung dar sondern bietet eine Zusammenfassung der technischen Abänderungen für WordPress Webseiten und Blogs nach meinem Verständnis. Ebenso kann es sein, dass ich, aufgrund der Vielzahl der zu ändernden technischen Details, nicht alle in meinem Artikel beschreibe. Kurzum: Ich übernehme keine Gewähr für Aktualität, Korrektheit, Vollständigkeit oder Qualität der Informationen.

Für eine individuelle Beratung zur rechtskonformen Umsetzung der DSGVO, wenden Sie sich bitte an einen spezialisierten Anwalt oder Datenschutzbeauftragten.

Im Überblick – was ist zu ändern / anzupassen

1. SSL Verschlüsselung
Sobald eine Webseite personenbezogene Daten sammelt, und das tut sie bereits mit dem Setzen eines Session Cookies, über ein Kontaktformular, oder die Anforderung einer IP Adresse, muss eine sichere Webverbindung bestehen. Diese erhält man, wenn die Webseite mit einem SSL Zertifikat ausgerüstet ist, in der Browserzeile also https://… und nicht http://… steht.

Ein SSL Zertifikat kann beim Provider bestellt werden. Meist ist es bereits im Hostingpaket kostenlos enthalten oder man bucht eins für wenig Geld dazu.

Manche kleinere Provider bieten keine SSL Zertifikate an, dann muss über einen Komplettumzug der Webseite zu einem anderen Provider nachgedacht werden.

2. Hinweis auf Cookienutzung
Cookies sind Textdateien, die bei dem Besuch einer Webseite lokal auf dem Rechner des Besuchers gespeichert werden. Sie enthalten Informationen über das Nutzungsverhalten. Wird die Webseite erneut aufgerufen, wird die Textdatei aktiviert und die gespeicherten Daten werden verwendet. Diese Daten sind beispielsweise Login Daten, Dauer der Sitzung, die Bestellhistorie in einem Onlineshop oder das personalisierte Anzeigen von Werbebannern. Cookies erkennen nicht den eindeutigen Benutzer sondern den Browser, der verwendet wurde.
Man unterscheidet zwischen Session und Persistent Cookies. Session Cookies werden nur für die jeweilige Sitzung gespeichert, Persistent Cookies auch noch nach dem Schließen der Website.

Um den Besucher auf die Nutzung von Cookies hinzuweisen, kann ein Plugin installiert werden. Dieses führt dazu, dass bei Seitenaufruf ein Hinweis erscheint und zusätzlich einen Link auf die Datenschutzerklärung enthält. Der Cookiehinweis verschwindet erst dann, wenn der Webseitenbesucher aktiv auf den Bestätigungsbutton klickt.

Cookieplugins für WordPress sind zum Beispiel Cookie Notice von dFactory oder Cookie Consent von Catapult_Themes.

3. Datenschutzerklärung
Ab dem 25. Mai 2018 benötigt man auch eine neue, für den Leser leicht verständliche, Datenschutzerklärung. Diese sollte als eigenständige Seite vorhanden sein, darf sich nicht im Impressum verstecken und muss von jeder anderen Seite im Web über zwei Klicks erreichbar sein. Die Datenschutzerklärung ist also am besten im Header- oder Footer Menü zu platzieren.

Zur Erstellung kann ein Fachanwalt beauftragt werden oder ein Generator wird genutzt. Es gibt kostenlose gebrandete, oder kostenpflichtige Angebote ohne Branding.

Als empfehlenswert halte ich folgende Generatoren:
Kostenlos:
Datenschutz Generator der Deutschen Gesellschaft für Datenschutz
Datenschutz Generator von activeMind.AG
Kostenpflichtig:
Datenschutz Generator von e-recht24.de mittels Premium Mitgliedschaft bestellen (für Seitenbetreiber / für Agenturen)*
Datenschutz Generator von RA Dr. Schwenke, kostenfrei für Privatpersonen und Kleinunternehmer, kostenpflichtig (im Moment noch nicht vorhanden) für alle weiteren Nutzer sowie Agenturen.

4. Kontaktformular & Kommentarfunktion
Wenn die Webseite über ein Kontaktformular verfügt, sollte, bevor der Nutzer seine Daten absendet, ein Hinweis auf die Speicherung und Nutzung der Daten erfolgen sowie eine aktive Einwilligung durch Bestätigung einer Checkbox eingeholt werden.

Mittels des Plugins Contact Form 7 kann eine solche Checkbox eingerichtet werden, aber auch diverse WordPress Premium Themes haben diese Funktion im Angebot.
Achtung! Die Checkbox sollte nicht vorausgewählt sein, der Nutzer muss die Zustimmung aktiv tätigen.

Auch in der Kommentarfunktion muss der Nutzer seine Einwilligung zum Speichern seiner Daten geben. Hier kann ebenfalls auf eine Checkbox mit erläuterndem Text zurück gegriffen werden. WordPress speichert automatisch die IP Adresse des Kommentators. Um diesen Umstand aufzuheben, kann das Plugin Remove IP installiert werden.

Ein weiteres Plugin, dass Checkboxen für Kontaktformular und Kommentarfunktion erzeugt, ist WP GDPR Compliance.

5. Newsletter
Newsletter dürfen natürlich auch nach Inkrafttreten der DSGVO weiterhin verschickt werden. Voraussetzung ist ein Double-opt-in, also eine zweimalige Bestätigung der Einwilligung zum Newslettererhalt.
Double-opt-in kurz erklärt: Newsletter wird durch Nutzer abonniert – es wird automatisch eine „Bitte bestätigen Sie ihr Abonnement“ Mail verschickt – Nutzer bestätigt dieses aktiv. Gleiches gilt übrigens auch, wenn sie dem Webseitenbesucher die Funktion „Kommentare abonnieren“ angeboten wird.

Nicht mehr erlaubt, bzw. durch das neue Kopplungsverbot eingeschränkt, ist das Ködern von Newsletter Abonnenten durch Freebies, Whitepapers oder Gewinnspiele. Die Inhalte des Freebies/Whitepapers, bzw. die Teilnahme am Gewinnspiel, muss auch ohne Newsletter Abo zur Verfügung gestellt werden.
Weiterhin ist darauf zu achten, über welchen Anbieter (MailChimp, MailPoet, CleverReach, newsletter2go…) der Newsletter verschickt wird und mit diesem muss dann ein Auftrag zur Datenverarbeitung abgeschlossen werden  (den von MailChimp finden Sie hier). Besonderes Augenmerk liegt darauf, wo der jeweilige Anbieter die Daten speichert, also in der EU oder in den USA.

Ebenso gilt beim Newsletter Abo, wie auch schon beim Kontaktformular, dass der Nutzer vor Absenden des Abonnements auf die Verarbeitung seiner Daten hingewiesen wird.

Darüberhinaus müssen die erhobenen Daten des Abonnenten aktuell gehalten werden und bei Widerruf oder Kündigung des Abos, müssen diese gelöscht werden. Der Zugang zum Widerruf oder Löschen muss jederzeit auffindbar sein. Also beispielsweise im Footer des Newsletters oder, noch besser, auf einer eigenständigen Unterseite ihrer Webseite.

Ebenso dürfen die erhobenen Daten nur zweckdienlich sein. Im Falle eines Newsletters wird also nur die E-Mail Adresse benötigt.

Als echte Alternative zu Newsletteranbietern sehe ich das Plugin The Newsletter Plugin von Stefano Lissa & The Newsletter Team. Die Vorteile: Die Daten werden lokal gespeichert und nicht an Drittanbieter weiter gegeben. Ebenso gibt es bereits eine DSGVO / GPDR Checkbox.

6. Tracking durch Google Analytics
Wenn Google Analytics auf der WordPress Webseite oder Blog für Besucherstatistiken eingesetzt wird, müssen folgende Dinge beachtet werden:
1. Es muss mit Google ein Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden. Diesen Vertrag finden sie hier. Dieser wird unterschrieben in zweifacher Ausfertigung an Google gesendet. Sie erhalten nach einiger Zeit ein unterschriebenes Exemplar zurück. Bei mir hat dieser Vorgang vor zwei Jahren ca. 14 Tage gedauert, in Anbetracht der aktuellen Dringlichkeit, könnte die Wartezeit des Rückversands höher sein. Auch eine digitale Möglichkeit steht zur Verfügung.
2. Der Webseitenbesucher muss in der Datenschutzerklärung auf den Einsatz von GA hingewiesen werden.
3. Die IP Adresse  des Webseitenbesuchers (zählt laut DSGVO zu den personenbezogenen Daten) muss anonymisiert werden.
4. Wenn der Webseitenbesucher mit der Nutzung von GA nicht einverstanden ist, muss er die Möglichkeit haben, das Tracking zu deaktivieren. Hierbei ist der Einbau eines Plugins erforderlich, z.B. Opt out for Google Analytics von Andreas Schweizer, oder der Hinweis auf eine Browsererweiterung zur Deaktivierung.

Völlig umgehen kann man die Google Hürde, indem ein anderes Trackingtool gewählt wird. Zum Einsatz kann hier Matomo, ehemals Piwik, kommen. Der Vorteil von Matomo: die erhobenen Daten werden nicht nach Übersee verschifft, sondern zentral auf dem eigenen Server gespeichert. Ein anderes Statistiktool ist das Plugin WP Statistic von Verona Labs. Für mich die beste „kleine“ Alternative für Besucherstatistiken ist das Plugin Statify von pluginkollektiv. Es kommt ohne den Einsatz von Cookies oder Drittanbietern aus.

Will man herausfinden, was die eigene Webseite so alles trackt oder was auf besuchten Seiten getrackt wird? Dann installieren sie Ghostery, eine Browsererweiterung für Chrome.
Weiterhin erhalten Sie einen Einblick mittels des Browserinspektors – dort gelangen Sie mit Klick auf die rechte Maustaste und der Auswahl „Untersuchen“ hin. Unter dem Tab „Sources“ befinden sich die aktiven Services.

7. Weitere Dienste – Google Fonts und Maps, Gravatar
Über Google Fonts werden Schriften, die auf einer Webseite zum Einsatz kommen, geladen und somit werden Daten an Google Server gesendet. Google Fonts sind aus Premium Themes nicht wegzudenken, hübschen sie WordPress Seiten doch auf und geben einem mehr gestalterische Freiheit, anstatt websichere, aber langweilige, Fonts wie Arial oder Verdana.

Es gibt nun zwei Möglichkeiten:
1. Die Schriften, die auf der Webseite zum Einsatz kommen sollen, werden bei Google Fonts oder Fontsquirrel als Datei herunter geladen (Lizenzbedingungen beachten!), auf den eigenen Server hochgeladen und dann mittels Code Snippet und @font-face in die sytle.css  implementieren. Durch die zusätzliche Verwendung des Plugins Remove Google Fonts References, wird die automatische Verwendung von Google Fonts durch Themes unterbunden.
2. Die Nutzung websicherer Fonts wie Arial, Verdana und Co.

Google Maps
Der Einbau eines Google Maps Ausschnitts auf der Webseite sieht zwar schick aus aber, ganz ehrlich, wer hat denn heutzutage keinen Navi im Auto oder auf dem Smartphone oder kann meine Büroadresse nicht googeln? Also schmeiße ich die Funktion einfach von meiner Seite runter.
Soll GM trotzdem weiterhin auf der Webseite zur Verfügung stehen, muss in der Datenschutzerklärung darauf hingewiesen werden.

Gravatar
Gravatar zieht ebenfalls personenbezogene Daten und sollte unter der Einstellung WordPress Dashboard -> Einstellungen -> Diskussion deaktiviert werden. Dann gibt es halt keine personalisierten Bilder mehr neben den einzelnen Kommentaren.

8. Social Media Buttons, Plugins, Embeds
Sämtliche Share & Like Buttons oder Plugins von sozialen Netzwerken wie zum Beispiel der Pin it Button von Pinterest, die Instagram Galerie, Facebook Like oder Newsfeed Plugin, Facebook Pixel, Youtube Embedding, etc., tracken, sobald die Webseite aufgerufen wird, den Besucher in unterschiedlichem Umfang. Daher gehören diese zukünftig entfernt oder aber
1. als reiner Link auf den jeweiligen Social Media Dienst eingebaut oder
2. mit dem Plugin Shariff Wrapper von c´t ummantelt.

9. Verträge zur Auftragsdatenverarbeitung
Wenn man personenbezogene Daten nicht selber erhebt, speichert oder verwaltet sondern dies über einen Drittanbieter passiert, muss mit diesem ein Vertrag zur Auftragsdatenverarbeitung, kurz AV-Vertrag, abgeschlossen werden.
Drittanbieter können zum Beispiel sein:
Hosting – Provider (1&1, Strato, Mittwald, All-Inkl…) überträgt E-Mails und speichert Zugriffe in den Server-Logs.
Google – wie unter Google Analytics bereits erklärt.
Zahlungsanbieter – Digistore24 oder Paypal.
Newsletter Anbieter – wie MailChimp, newsletter2go…
Pluginanbieter – bei einigen Plugins (Akismet, Jetpack, Wordfence…) werden ebenfalls Daten verarbeitet. Da es so viele unterschiedliche gibt und jede Webseite andere Plugins benutzt, muss hier im einzelnen nachgeschaut werden, ob ein AV-Vertrag abgeschlossen werden muss oder ob vom Plugin Cookies gesetzt werden, auf die in der Datenschutzerklärung hingewiesen werden muss.

Fazit
Es bleibt abzuwarten, wie sich die Situation nach dem 25. Mai entwickelt, was noch auf uns zukommt und geändert, ergänzt, gelöscht werden muss. Bei neuen Erkenntnissen werde ich diesen Beitrag aktualisieren.

Meine Leseempfehlung zur DSGVO ist das Heft „Erste Hilfe zur Datenschutz-Grundverordnung“ aus dem Beck Verlag für 5,50€.
Bei Amazon anschauen oder im lokalen Buchhandel kaufen.

Sollten Sie technische Unterstützung bei der Anpassung Ihrer WordPress Webseite benötigen, senden Sie mir gerne eine Nachricht.

4 Kommentare
  1. Marcus Micksch sagte:

    Vielen Dank für deine Mühe, diesen Artikel zusammenzustellen! Hat uns schön wachgerüttelt. Wir gehen jetzt erstmal Kotzen und setzen uns dann an unsere Webseiten-Anpassung. 😀

    Antworten
  2. Beate sagte:

    Das meiste kann ich so unterschreiben, aber einerseits glaube ich nicht, dass eine bloße Übertragung von IP-Adressen ein SSL-Zertifikat benötigt. Da keine Website ohne IP-Adresse funktioniert, bräuchte dann ja das ganze Internet SSL?
    Und zum Thema Kontaktformular und Checkbox steht hier etwas anderes: https://www.datenschutz-guru.de/braucht-mein-kontaktformular-jetzt-eine-checkbox/

    Übrigens, zum Thema Blogkommentar: warum muss man eine E-Mail-Adresse angeben? Da müsste doch auch Datensparsamkeit gelten?

    Antworten

Kommentieren

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.