Datenschutzgrundverordnung DSGVO mit WordPress
diese Anpassungen sollten auf der Website beachtet werden.
Auf dem WordPress-Meetup in Hamburg zum Thema DSGVO präsentierte Stefan Schimkat (Fachanwalt für IT-Sicherheit & Externer Datenschutzbeauftragter) die Neuerungen, die das neue EU Gesetz für die WordPress-Community mit sich bringen wird. Viele der Punkte riefen heftiges Kopfschütteln und Gegenreaktionen der über 80 Teilnehmer hervor. Kein Wunder, denn bei Verstößen drohen Bußgelder bis zu 4% des Jahresumsatzes oder 20 Mio. €. Auch die Gefahr von Abmahnungen wird steigen.
Folgende Punkte sollten geprüft werden
- Cookies
- Website Analyse
- Kommentare
- Newsletter
- Kontaktformulare
- Social Media
- SSL-Verschlüsselung
- Google Fonts
- Datenschutzerklärung und Impressum
- Werbung / Affiliate
- Datenschutzbeauftragter
- Vertrag zur Auftragsdatenverarbeitung
Cookies
Cookies, welche zum Tracking von Nutzern verwendet werden können (also eine eindeutige ID enthalten), dürfen nur noch bei berechtigtem Interesse z.B. bei einem Online-Shop ohne Opt-In gesetzt werden. Opt-In bedeutet, dass die User einer Website nun erst zustimmen müssen bevor ein Cookie gesetzt wird. Bislang war das Opt-Out also das Ablehnen und Löschen des Cookies die gängige Praxis. Diese reicht nun jedoch nicht mehr aus.
Für Website-Betreiber ist die Kontrolle der Cookies jedoch schwer, denn wenn man andere Dienste wie zum Beispiel Google Maps, YouTube, Vimeo oder die diversen Sozialen Netzwerke in die eigene Site integriert, werden automatisch Cookies gesetzt.
Aus diesem Grund haben wir den DSGVO-Cookie-Blocker, der auch Cookies von externen Diensten blockieren kann, entwickelt.
Website Analyse
Das es bei der Analyse der eigenen Website zuerst darum geht die Website zu optimieren, weiß jeder Seitenbetreiber. Der Einfachheit halber haben viele das kostenlose Google Analytics verwendet. Aus Erfahrung bei der Prüfung von Websites wissen wir, dass der Tracking-Code in ca. 90% aller Fällen falsch eingesetzt wurde und die Daten der Besucher ohne die Aufforderung diese zu anonymisieren auf den Servern gespeichert wurden.
Jeder, der Google Analytics verwendet, sollte sich spätestens jetzt um die korrekte Einbindung und um den Vertrag zur Auftragsdatenverarbeitung kümmern.
Optional gibt es auch sehr gute Systeme wie Matomo (vormals Piwik), die Daten nur auf dem eigenen Server speichern und dem Datenschutz entsprechend anonymisieren.
Kommentare
Die in WordPress-Blogs beliebte Kommentarfunktion speichert neben dem eigentlichen Text auch die E-Mail-Adresse, die IP-Adresse, den Namen und die Website des Kommentierenden ab – und damit also personenbezogene Daten.
Eine Lösung wäre Kommentare komplett anonym zuzulassen, doch dann trägt der Betreiber der Website das komplette Risiko und ist damit haftbar für eventuelle Beleidigungen und Verunglimpfungen aller Art.
Möchte man die Funktion in jedem Fall behalten, sollte man die Kommentarfunktion so umstellen, dass User per Checkbox die Datenschutzbedingungen akzeptieren und per DOI (Double Opt-In) ihre E-Mail-Adresse verifizieren müssen. Die Daten müssen dann 6 Jahre gespeichert und danach gelöscht werden.
Sollte sich die Website primär an Minderjährige wenden, sollten Kommentare abgeschaltet werden, da zur Nutzung die Einwilligung beider Elternteile notwendig wäre, was natürlich etwas unrealistisch zu realisieren ist.
Newsletter
Bei der Anmeldung zu Newslettern ist bereits seit längerem die Regel, dass User den Empfang per DOI-Funktion (Double Opt-In, also dem Klicken auf den Link in der ersten E-Mail zur Verifizierung) bestätigen müssen. Mit dem neuen EU Gesetz reicht dies nicht mehr aus, denn in jedem Fall sollten bei der Registrierung neben der Eingabe der E-Mail-Adresse auch die Datenschutzbedingungen der Website bestätigt werden müssen. Dies geschieht zum Beispiel durch Aktivierung einer Checkbox (Pflichtfeld) ohne die das Formular nicht abgesendet werden kann.
Newsletter-Systeme, die Daten der User außerhalb der EU speichern (MailChimp, CleverReach, etc.) sind nicht mehr zulässig, da die USA als ein datenschutzrechtlich unsicherer Drittstaat gelten. Man sollte daher einen Anbieter, welcher die Daten in Europa hostet, wählen.
Kontaktformulare
Bei fast allen Formularen zur Kontaktaufnahme werden persönliche Daten abgefragt. Dies kann zum Beispiel der Name die E-Mail-Adresse, die Telefonnummer oder die Postanschrift sein. Aber auch IP-Adressen, die im Hintergrund gespeichert werden, gelten als persönliche Daten.
Da in der Regel nach der Übermittlung der Daten diese auch abgespeichert werden, muss hierzu die Einwilligung zur Speicherung eingeholt werden. Dies sollte durch eine Checkbox mit einem Link zu den Datenschutzbedingungen erfolgen.
Social Media
Auf vielen Websites werden die beliebten Social Plugins der Sozialen Netzwerke wie Facebook, Google+, Twitter & Co. eingesetzt. Mit diesen kann man die Inhalte liken, teilen oder Fan eines bestimmten Kanals werden.
Der Unterschied bei den Social Plugins liegt darin, dass einige von ihnen bereits beim Starten der Seite Verbindungen zu den jeweiligen Netzwerken herstellen.
Nach dem neuen EU-Gesetz gilt jedoch: Alles was beim Aufruf einer Seite eine Verbindung zu einem Netzwerk wie Facebook, Google, etc. herstellt, ist nicht mehr erlaubt. Dies betrifft z.B. Like- oder Share-Buttons mit integriertem Counter aber auch YouTube- und Vimeo-Videos.
SSL-Verschlüsselung
Seit einiger Zeit melden Browser bei Webseiten, die Kontaktformulare enthalten und nicht per SSL verschlüsselt sind, dass diese unsicher sind. Erkennen kann man sichere Seiten auch am „https” oder dem grünen Schloß in der Adresszeile.
Damit wird die SSL-Verschlüsselung für alle Websites Pflicht, die personenbezogene Daten z.B. per Formular versenden. Als „personenbezogene Daten“ gelten alle Information, die zur Identifizierung einer Person führen können.
Google Fonts
Bei der Verwendung von Google Schriften werden diese in der Regel von einem Google Server geladen. Dies passiert im Hintergrund beim Aufruf einer Seite ohne, dass der Nutzer dies merkt. Der Suchmaschienenbetreiber erfährt dadurch nicht nur wie häufig einzelne Seiten aufgerufen werden, sondern kann auch Bewegungsprofile eines Nutzers über mehrere Websites hinweg anlegen.
Nach der DSGVO gilt jedoch: In die Verbindung zu einem externen Netzwerk müssen Besucher vorab informiert werden und diesem explizit zustimmen.
Datenschutzerklärung und Impressum
Zur Einführung der DSGVO sollte man sich das Impressum und die Datenschutzerklärung noch einmal genau ansehen. In jedem Fall werden hier Änderungen notwendig. Es gibt auch schon diverse Generatoren die sich des Themas annehmen. Wir raten jedoch zum Einsatz eines Anwaltes, der die Bedingungen dem jeweiligen Service und der Site anpasst.
Werbung / Affiliate
Wer seine Webseite monetarisieren möchte (z.B. durch Google AdSense oder Amazon), integriert meist Werbung oder Links von anderen Anbietern. Die meisten Affiliate-Systeme tracken hierbei, allein schon um Betrug zu vermeiden oder um entsprechend vergüten zu können, den Weg der User von der einen zur anderen Website.
Leider ist dies auch nicht unproblematisch, da die Anbieter schon Daten sammeln, wenn z.B. nur ein Banner in einer Seite eingebunden ist.
Datenschutzbeauftragter
Mit der DSGVO wird in einigen Fällen die Benennung eines Datenschutzbeauftragten und die Mitteilung an die Aufsichtsbehörden notwendig. Die hängt davon ab welche Daten gespeichert werden und wie viele Mitarbeiter im Unternehmen Zugriff auf diese Daten haben.
Bei kleinen Betriebe macht die neue Verordnung eine Ausnahme: Wenn regelmäßig nur neun oder weniger Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind, braucht ein Unternehmen keinen Datenschutzbeauftragten.
Vertrag zur Auftragsdatenverarbeitung
Immer wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden, ist ein Vertrag zur Auftragsdatenverarbeitung notwendig. Das betrifft bei Websites zum Beispiel den Webhoster, da dieser Daten wie IP-Adressen der Besucher einer Website erhält.
Auch einiges was in der Datenbank von WordPress gespeichert wird, fällt hierunter. Zum Beispiel, wenn man die Kommentarfunktion für Beiträge nutzt oder Benutzerkonten auf der Website anlegt.
Benötigen Sie Hilfe zur Datenschutzgrundverordnung DSGVO mit WordPress?
Durch unsere jahrelange Erfahrung mit WordPress und den Betrieb eigener Seiten, können wir die Vorgaben Ihres Anwaltes oder Datenschutzbeauftragten entsprechend umsetzen.