Als Webseitenbetreiber sind wir für unsere Webseite verantwortlich. Die seit dem 25. Mai 2018 geltende Datenschutzgrundverordnung (DSGVO) müssen wir also umsetzen. Was ist konkret zu tun?

Diesen Beitrag ergänze ich laufend und gehe Schritt für Schritt mit Ihnen durch die Themen, die für Ihre Webseite wichtig sein können. 

Haftungsausschluss: Dieser Beitrag stellt keine rechtliche Beratung dar oder ersetzt gar die Konsultation eines Rechtsanwaltes. Er basiert auf meiner eigenen Recherche und Fortbildungen der letzten Monate. Für die Richtigkeit kann ich keine Haftung übernehmen. Als umfassende Lektüre zum Thema DSGVO und WordPress empfehle ich darüber hinaus die unten angeführten Quellen.

* * *

Die DSGVO gilt grundsätzlich für jeden Webseitenbetreiber, ausgenommen sind lediglich rein private Webseiten, die nicht öffentlich zugänglich sind.

Personenbezogene Daten

Zu schützen sind alle personenbezogenen Daten, dazu zählen:

  • Name
  • Adresse
  • Email-Adresse
  • Telefonnummer
  • Geburtsdatum
  • Kontodaten
  • Standortinformationen
  • IP-Adressen

Da schon mit Aufruf einer Webseite auch die IP-Adresse übermittelt wird, ist klar, dass die EU-Verordnung für jede Webseite zur Anwendung kommt.

Die in der DSGVO neu formulierten Grundsätze des Datenschutzes sind: Rechtmäßigkeit der Datenverarbeitung, Datensparsamkeit, Zweckbindung, Datensicherheit, Übermittlung in Drittländer, Betroffenenrechte, Unabhängige Aufsicht, Effektive Durchsetzung.

Persönliche Daten dürfen verarbeitet werden, wenn a) eine gesetztliche Grundlage besteht oder b) hierfür eine ausdrückliche Einwilligung vorliegt, sonst nicht. Es dürfen nur wirklich nötige Daten für den jeweiligen Zweck erhoben werden. Und entfällt dieser Zweck, müssen die Daten gelöscht werden (Bsp. Austragung aus dem Newsletter-Abonnement). Das hat Konsequenzen auch auf vorhandene Datenbestände.

Schritt für Schritt

WordPress Datenschutz 2018

Manches in der folgenden Liste ist selbstverständlich, es sei aber trotzdem noch einmal hier genannt. Beispielsweise sorgt man als Website-Betreiber nicht für die nach dem Stand der Technik bestmöglichen Datenschutz, wenn man nicht regelmäßig aktuelle Updates einspielt.

Quelle: Elbnetz (1), um einiges ergänzt und aktualisiert.

  1. WordPress, Dein Theme und alle Plugins immer auf dem aktuellen Stand halten (Update-Administration).
  2. Ebenso alle serverseitigen Techniken (PHP, MySQL, Linux, Apache, etc.). Einstellungen beim Hoster prüfen und ggfs. updaten.
  3. Verschlüsseln Sie die Datenübertragung Ihrer Website (https / SSL).
  4. Für jeden WordPress-Login ein starkes Passwort wählen.
  5. Regelmäßige Datensicherungen (Backups). Am besten täglich. Informieren Sie sich auch über die Einspielmöglichkeit von Backups, das spart im Notfall Zeit und Nerven.
  6. Beauftragen Sie Dritte die von Ihnen erhobenen persönlichen Daten zu verarbeiten, muss mit diesen ein Vertrag zur Auftragsverarbeitung geschlossen werden, klassische Fälle sind Google Analytics oder Newsletterdienste.
  7. Verwendet Ihre Seite Google-Fonts? Wahrscheinlich ja! Dann muss dies in der Datenschutzerklärung dokumentiert und beschrieben werden – nach anwaltlicher Auskunft genügt das wahrscheinlich aber nicht. Daher sollten Sie alternativ die Google-Fonts lokal einbinden und den Zugriff auf den Google-Server unterbinden, womit sowohl ein Datensicherheitsgewinn wie auch Geschwindigkeitsvorteil verbunden sind.
  8. Prüfen Sie alle eingesetzten Plugins daraufhin, ob sie personenbezogene Daten erheben und speichern, Beispiele sind WooCommerce, Newsletter-Plugins, Analyse-Plugins (s.u.), Download-Monitor-Plugins etc.
  9. Vermeiden Sie Plugins von Diensten, die personenbezogene Daten (meist IP-Adressen) auf Server außerhalb der EU weiterleiten. Beipiele sind MailChimp (Newsletter-Dienst), iThemes Security (Website-Schutz), Akismet (Anti-Spam) oder Jetpack (z.B. die WordPress Stats Funktion), s.u.
  10. Anonymisieren Sie die IP-Adressen in jeder Analyse-Software (z.B. Google Analytics).
  11. Kontaktformular: Integrieren Sie eine Zustimmungs-Checkbox zur Datenverarbeitung als Pflichtfeld.
  12. Newsletter-Abo-Funktion: integrieren Sie eine Zustimmungs-Checkbox zur Datenverarbeitung als Pflichtfeld.
  13. Stellen Sie sicher, dass Ihr Webserver ausgehende Mails verschlüsselt sendet, z.B. mit einem SMTP Plugin (SMTP Server-Port 465).
  14. Anonnymisieren Sie die IP-Übermittlung bei Blog-Kommentaren.
  15. Deaktivieren Sie die Avatar-Anzeige in WordPress.
  16. Aktualisieren Sie Ihre Datenschutzerkärung!
  17. Führen Sie ein Verzeichnis von Datenverarbeitungstätigkeiten.
  18. Melden Sie sich im Falle einer Datenpanne (z.B. wenn Deine Seite gehackt wurde) innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde (Datenschutzbeauftragter des jeweiligen Bundeslandes, Link zum Landesbeauftragten für Datenschutz in Bayern).

Bei der Umsetzung des neuen Datenschutzrechtes auf Ihrer Webseite berate und unterstütze ich Sie.

Verschlüsselte Übertragung der Website – https-Protokoll / SSL-Zertifikat

Websites sollten spätestens jetzt verschlüsselt übertragen werden. Das bringt nicht nur mehr Sicherheit ins Internet, sondern wird auch durch eine schnellere Übertragung sowie ein besseres Ranking bei Google belohnt. Sofern also noch nicht geschehen, sollten Sie Ihre Website auf das https-Protokoll umzustellen. Hierfür ist ein sog. SSL-Zertifikat notwendig und die WordPress-Installation muss auf die neuen Pfade umgestellt werden. Wichtig ist, dass wirklich sämtliche Pfadangaben umgestellt werden, ansonsten wird der Browser eine Fehlermeldung hinsichtlich unsicherer Elemente auf der Seite ausgeben und die Seite nicht anzeigen.

Die Verschlüsselte Übertragung ist zwingend notwendig, wenn Ihre Website z.B. eine der folgenden Funktionen aufweist:

  • Kontaktformular
  • Newsletter-Abonnement-Funktion
  • Google Analytics, Piwik, eTracker, Google AdSense oder Amazon-Partnerprogramme
  • Log-in geschützter Kundenbereich
  • Blog mit Kommentarfunktion
  • Social-Media-Plugins
  • extern eingebundene Scripte

Ich würde aber unabhängig davon die Webseite auf jeden Fall vollständig verschlüsseln. Es ist Stand der Technik.

Wenn Sie Fragen zur Umstellung auf https haben, beantworte ich sie Ihnen gerne.

Cookies

Jede WordPress-Website verwendet Cookies. Sie sind heute für die vollständige Funktion komplexer Internetanwendungen unerlässlich. Das Bundesdatenschutzgesetzt BDSG sieht vor, dass der Nutzer darüber informiert werden muss, dass Cookies verwendet werden. Zum einen muss ein entsprechender Passus in die Datenschutzerklärung, zum anderen kann man eine explizite Cookie-Notice beim ersten Aufruf einer Website dazu verwenden, den Nutzer über den Einsatz von Cookies zu informieren. Die unterschiedlichen Arten der verwendeten Cookies müssen explizit aufgeführt und erläutert werden. Alle technisch nicht notwendigen Cookies (das sind z.B. Session-Cookies) müssen explizit erlaubt werden vom Nutzer. Man unterscheidet in Cookies für Statistische Auswertungen (z.B. Nutzungsstatistiken), externe Medien (z.B. YouTube Video-Einbindungen) und Marketing (z.B. Google Analytics / Tracking). Um die recht komplexen Anforderungen des Datenschutzrechtes zu erfüllen ist hierfür ein sog. Consent-Tool einzusetzen. In meinen Seiten verwende ich hierfür das Plugin Borlabs Cookies.

Analyse- und Tracking-Plugins

Google Analytics

Wenn Sie Google-Analytics einsetzen oder einsetzen möchten, müssen Sie sicherstellen, dass (a) übertragene IP-Adressen anonymisiert werden. Weiter müssen Sie (b) einen Vertrag zur Auftragsverarbeitung mit Google abschließen. Google bietet den Online-Vertragsabschluss nach DSGVO im Analytics Backend an. Es muss (c) ein funktionierender Opt-Out-Link in der Datenschutzerklärung enthalten sein, der einen Cookie im Browser des Nutzers setzt, der Google untersagt die Daten dieses Nutzers beim Besuch Ihrer Webseite zu übertragen. Ebenso muss ein Link zum Google-Plugin gesetzt werden, womit der Nutzer Google generell anweisen kann, sein Nutzerverhalten nicht zu verwerten (übertragen, verarbeiten, speichern). Und (d) muss all dies in der Datenschutzerklärung umfassend und verständlich dargestellt werden. (2)

WordPress Stats (Jetpack) von Automattic

Dieser Dienst von Automattic unterliegt der amerikanischen Privacy Shield Verordnung und kann mit entsprechender Darstellung und Opt-Out Link in der Datenschutzerklärung wie Google Analytics behandelt und auch eingesetzt werden. Ob für Jetpack, respektive WordPress Stats ein Verarbeitungsvertrag notwendig ist, versuche ich gerade zu klären; wahrscheinlich ja, aber meines Wissens hat Automattic noch keine Möglichkeit des Online-Abschlusses integriert. (Dies wird an dieser Stelle also noch weiter ausgeführt werden).

Alternative: Statify

Als direkt DSGVO konforme Alternative können Sie das Plugin Statify einsetzen. Dieses Plugin speichert und verarbeitet alle Daten lokal auf dem Server der Webseite. Es findet keine Verarbeitung von IP-Adressen statt. Es werden keine Cookies oder Benutzerprofile gespeichert. Es braucht hierfür also auch kein Opt-Out in der Datenschutzerklärung. Und die gespeicherten Daten werden nach einer einstellbaren Dauer automatisch wieder gelöscht. Für die häufigsten Analyseanforderungen, nämlich Zählung der Seitenaufrufe und Darstellung der meistbesuchten Seiten, reicht es völlig aus.

E-Mail Newsletter

Natürlich ist die E-Mail-Adresse eine personenbezogene Angabe und muss damit besonders geschützt werden. Vielfach werden für den Newsletter einer Website unterschiedliche Newsletter-Auftragsdienste verwendet, wie z.B. MailChimp. Achtung: Dies sind externe Auftragsdienstleister und damit fallen sie unter die Regelung der Auftragsverarbeitung (AV, vormals ADV für Auftragsdatenverarbeitung) der DSGVO!

Ein weitere Punkt ist, dass die Abonnentendaten üblicherweise in die USA transferiert, dort verarbeitet und die Newsletter vom dortigen Server versendet werden. Dies ist generell als kritisch anzusehen und ist auch keineswegs notwendig. Ich verwende für meine Seiten ein Newsletter-Plugin, dass allein auf dem eigenen Server ausgeführt wird und auch nur dort die Daten speichert. Natürlich sollte der Server selber auch in Deutschland, mindestens in der EU stehen. Letzteres ist eine Frage des Hostings. Alternativen sind in Deutschland oder zumindest in der EU ansässige Newsletterdienstleister.

Grundsätzlich gilt – wie bisher auch – dass nur das sog. Double-Opt-in Verfahren für die Anmeldung für den Newsletter zulässig ist. Bei Anmeldung bekommt der Abonnent zunächst eine Email mit einem Bestätigungslink. Erst wenn er diesen anklickt wird er als Abonnent eingetragen. Unterlässt er dies, gilt dies als Ablehnung und es darf kein Newsletter versendet werden. Sie müssen die Kundenzustimmung nachweisen können! Das Newsletter-Plugin bzw. der Newsletterdienstleister muss diesen Vorgang protokollieren.

Checkbox mit Einverständniserklärung als Pflichtfeld

Bei der Newsletter Abo-Funktion sollte unbedingt ein Pflichtfeld mit der Zustimmung des Abonnenten eingesetzt werden. Schauen Sie sich den Text an, den ich im Footer meiner handmade web.design Seite bei meinem Newsletter-Abo formuliert habe und verwende ihn gern. Die Checkbox ist ein Pflichtfeld.

Kontaktformular

Wie beim Newsletter-Abo gilt auch für das Kontaktformular, dass jetzt eine explizite Information des Benutzers notwendig wird. Eine entsprechende Formulierung finden Sie z.B. bei eRecht24. Auch hier ist die Checkbox ein Pflichtfeld. 

Teilen-Funktion für Soziale Netzwerke oder Plugins der Netzwerke

Nach eingehender Recherche stellt sich die Situation doch noch sehr viel unsicherer dar als vermutet. Klar ist schon lange: Der Einsatz der umfangreichen, netzwerkeigenen Plugins zum Teilen oder Liken ist rechtswidrig. Punkt. Aber auch die vielfältigen Share Plugins von Drittherstellern erfüllen – noch – nicht die hohen Anforderungen der DSGVO. Einzig die Tools Shariff-Wrapper / Shariff-Buttons (c’t) und darauf aufbauende Sharing-Plugins tun dies. Ich verwende daher seit kurzem das auf diesen Tools basierende Safe-Sharing-Plugin von e-recht24 Premium, das auch gut konfiguriert werden kann. Als Agentur-Partner kann ich dieses Plugin auch für meine Kunden einsetzen. Sie sehen eine mögliche Konfiguration der Share-Buttons am Ende dieses Artikels.

Urheberrechte (off-topic)

Etwas das zwar thematisch nicht zur DSGVO gehört, aber bei vielen Webseiten eine Gefahr für Abmahnungen darstellt, ist das deutsche Urheberrecht. Geschützt sind Bilder, Fotos, Videos, Lieder und Texte. Nur selbst erstellte Inhalte können problemlos genutzt werden. Werden fremde Inhalte genutzt, muss mit dem Urheber (z.B. Fotograf, Texter) oder dem Rechteverwerter (z.B. Bildagentur) ein passender Lizenzvertrag geschlossen werden. Der Urheber muss zudem am Werk genannt werden, nach deutschem Urheberrecht genügt die Nennung im Impressum nicht. Letzteres wird oft nicht beachtet und sollte ggfs. korrigiert werden. Ich biete meinen Kunden die korrekte Urhebernennung für ihre Webseite an:

UST-ID und Steuernummer (off-topic)

Ebenfalls manchmal falsch gemacht wird die Angabe der Steuernummer auf einer Webseite. Deshalb: Schon gewusst? – In das Impressum gehört – wenn vorhanden – die UST-ID. Für Kleinunternehmer nach §19 UStG gilt: es ist auf den Kleinunternehmerstatus zu verweisen. Aber: die Steuernummer gehört nicht auf die Webseite! Mit ihr könnte man möglicherweise Auskunft über steuerliche Belange von Ihnen bei Ihrem Finanzamt erlangen.

Als Website-BetreiberIn müssen Sie Ihre Webseite DSGVO-konform gestalten

Da ich es selbst nutze und die Informationen für Premium-Mitglieder hier für meine Nutzer und Kunden einstellen darf, weise ich natürlich darauf hin: eRecht24 kann auch für Sie eine gute Möglichkeit sein, sich umfassend zu informieren und inhaltliche Änderungen an Ihrer Website vorzunehmen. Über diesen Partnerlink kommen Sie zu diesem anwaltlichen Angebot: https://www.e-recht24.de/premium (*)

Wenn aber z.B. keine Zeit ist, sich eingehend mit dem Thema auseinanderzusetzen:

Als eRecht24 Agentur-Partner kann ich meine Kunden bei der Umsetzung einer korrekten Datenschutzerklärung nach DSGVO und beim Thema Impressum unterstützen. Bestandteil meiner Leistungen im Bereich Webseitenerstellung ist selbstverständlich auch die Unterstützung bei der Umsetzung einer DSGVOkonformen Datenschutzerklärung und praktischer, anwaltlich geprüfter Inhalte zur DSGVO.

Als Webentwickler biete ich Ihnen die programmtechnische Umsetzung und die Integration rechtskonformer Tools. Die meistbetroffenen Funktionsbereiche einer Website seien hier schon einmal genannt: Verschlüsselung, Cookie-Notice, Vermeidung externer Serverzugriffe, Formularanpassungen, Teilen-Funktion, lokale Einbindung von Google-Fonts und Symbolschriften, Newsletter-Verwaltung, Backup sowie Update-Administration.


Quellen und weiterführende Links:

Kurzer Einstiegstext:
(1) https://elbnetz.com/dsgvo-mit-wordpress/

Ausführlicher, E-Recht24.de:
(2) Die aktuellen Infos zur DSGVO

Generator für eine Datenschutzerklärung (kostenlose + Premium Version DSGVO)
(3) https://www.e-recht24.de/premium (*)

(4) https://marketpress.de/2017/onlineshop-recht-2017/

Google Analytics, Vertrag zur Auftrags(daten)verarbeitung (A(D)V):
(5) https://www.google.de/analytics/terms/de.html

Gesetzesquelle:
(6) EU Datenschutzgrundverordnung als PDF

Wartungsarbeiten – ist das eine Auftragsverarbeitung nach DSGVO?
(7) https://www.datenschutzbeauftragter-info.de/wartungsarbeiten-ist-das-eine-auftragsverarbeitung-nach-der-dsgvo/

(8) Gesellschaft für Datenschutz und Datensicherheit e.V. – Praxishilfen

(9) Kostenloser DSGVO-Guide für Websitebetreiber von Raidboxes.

Versch. Artikel zu Analysetools, die rechtliche Einschätzung ist noch nicht einheitlich:
(10) eRecht24: Google-Analytics, Google-Adsense, Google-Adwords

(11) Datenschutzbeauftragter-info.de: Cookies und Tracking

(12) it-recht-kanzlei.de: Cookies und DSGVO