- WordPress DSGVO-konform betreiben
- Was ist die DSGVO?
- Benötige ich ein WordPress DSGVO-Plugin?
- WordPress Datenschutzerklärung: Generator mit Mustertexten
- WordPress-eigene Funktionen nutzen
- WordPress Cookie-Plugin Empfehlung
- Sichern Sie WordPress: SSL Verschlüsselung aktivieren (HTTPS)
- Kontaktformulare rechtssicher gestalten
- Auftragsverarbeitungsvertrag abschließen – wann brauchen Sie einen AV-Vertrag?
- Fazit
WordPress DSGVO-konform betreiben
Die Datenschutz-Grundverordnung (DSGVO) stellt Betreiber von Websites seit gut zwei Jahren vor neue Herausforderungen. Auch eine WordPress-Website ist mit allen Standardeinstellungen nicht konform zum neuen Datenschutzstandard in der EU. Viele Standardfunktionen erfordern zusätzliche Einstellungen, Plugins oder Hinweise, um mit EU-Recht konform zu sein. Darunter fallen für viele Betreiber essentielle Teile der Website wie Kontaktformulare, Kommentare und Blogbeiträgen oder Newsletter.
Dieser Artikel bietet Orientierung darüber, wie WordPress DSGVO-konform betrieben werden kann, inklusive praxiserprobter Tipps.
Hinweis: Unsere Blogbeiträge werden sorgfältig recherchiert, aber wir sind keine Juristen und bieten keine Rechtsberatung an. Wir stellen Ihnen Erfahrungen aus unserer Agenturpraxis dar, übernehmen jedoch keine Gewährleistung für die Korrektheit, Aktualität und Vollständigkeit der Informationen. Gerade zu rechtlich sensiblen Themen empfehlen wir Ihnen die Beratung durch einen Anwalt.
Was ist die DSGVO?
Zunächst einmal sollte klar werden was die Datenschutz-Grundverordnung beinhaltet und welche Tragweite sie hat. Denn auch zwei Jahre nach Inkrafttreten der neuen Verordnung stellen wir im Agenturalltag immer wieder fest, dass einige Websites die Datenschutzregeln nur lückenhaft umsetzen. Grundlegend kann jeder Verstoß gegen die DSGVO mit hohen Strafzahlungen geahndet werden: bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes Ihres Unternehmens. Dabei ist nachrangig, ob Sie die Regeln teilweise umgesetzt haben, denn ein Verstoß gegen eine der Regeln reicht schon um Datenschützer auf den Plan zu rufen.
Im Kern geht es bei der DSGVO (oder international: GDPR) darum personenbezogene Daten zu schützen. Also Daten, die Sie mit Ihrer Website sammeln und verarbeiten und die einer bestimmten Person zugeordnet werden können. Grundsätzlich ist das natürlich zu begrüßen, jedoch erschwert es an vielen Stellen den Betrieb einer Website. Denn viele der Daten, die beim Betrieb anfallen, werden von Ihnen als Betreiber nicht einmal wissentlich gesammelt und verarbeitet, sondern nur von der Software (WordPress oder Server) gesammelt.
Hinzu kommt noch die Informationspflicht und das Recht auf Auskunft zu den erhobenen Daten (vgl. DS-GVO, Art. 12ff.). Das heißt jeder Nutzer Ihrer Website muss prinzipiell über die Art und Weise der Datenerhebung auf Ihrer Website aufgeklärt werden – das geschieht üblicherweise in Form einer Datenschutzerklärung. Zudem darf ein Besucher Ihrer Website jederzeit bei Ihnen Auskünfte zu allen erfassten Daten einholen.
Welche Datenarten sollten Sie also kennen? Wir liefern einen Überblick der für die meisten Websites relevanten Begriffe mit kompakter Erklärung:
- IP-Adressen: Alle Geräte kommunizieren im Internet mit einer IP-Adresse. Der Server, auf dem Ihr WordPress läuft, benötigt zur Verarbeitung von Anfragen beispielsweise die IP-Adresse des Anfragenden um eine passende Antwort zu senden. Jedoch lässt sich eine IP-Adresse über Umwege auch einer Person zuordnen, fällt also unter die DSGVO
- Name, Anschrift, Telefonnummer, E-Mail-Adresse und andere Kontaktdaten: Wenn Sie auf Ihrer Website ein Kontaktformular oder einen Shop integriert haben, sammeln Sie einige oder alle der vorgenannten Daten – ganz klar personenbezogen und daher sind hier besondere Schutzmaßnahmen erforderlich
- Zahlungsdaten: Verarbeiten Sie Zahlungen (z. B. in einem WooCommerce-Shop), fallen unter Umständen auch Zahlungsdaten der Kunden an. Auch diese Daten sind besonders schützenswert
- Cookie-Kennungen: Einige Funktionen einer Website erfordern das Setzen von Cookies um Benutzer wiederzuerkennen. Damit lässt sich zumindest ein Gerät und über Umwege auch eine Person identifizieren – ebenfalls datenschutzrechtlich relevant
Kategorien, die nur in besonderen Fällen für Website-Betreiber wichtig sind, haben wir gesondert aufgelistet. Diese Arten von Daten fallen unter anderem in bestimmten Berufsfeldern (Medizin) an oder betreffen zum Beispiel bestimmte religiöse oder politische Einrichtungen. Die Verarbeitung aller unten genannten Daten ist zunächst einmal verboten und nur in Ausnahmefällen nach vorheriger Einwilligung der betroffenen Person zulässig (vgl. DS-GVO Art. 9):
- Gesundheitsdaten / medizinische Daten: Ein Beispiel wäre eine Ärztin, die auf ihrer Website Daten zum Gesundheitszustand ihrer Patientinnen erfasst, ihnen einen Medikationsplan oder Testergebnisse digital bereitstellt
- Biometrische oder genetische Daten
- Rassische oder ethnische Herkunft
- Zugehörigkeit zu einer Religionsgemeinschaft / Konfession
- Sexuelle Orientierung oder Details zum Sexualleben
- Gewerkschaftszugehörigkeit
- Politische Meinung oder Weltanschauung
Benötige ich ein WordPress DSGVO-Plugin?
Prinzipiell wäre es natürlich wünschenswert, wenn es eine Lösung gäbe, die Sie nur installieren müssen um Ihre Website sofort fit für die DSGVO zu machen. Einige Plugins versprechen Ihnen die Arbeit zu erleichtern und Ihnen vieles abzunehmen – das ist grundsätzlich begrüßenswert. Beispielsweise deckt die kostenlose Erweiterung WP DSGVO Tools von Legalweb bereits vieles ab. Zahlreiche Funktionen sind allerdings nur in der Premium-Version enthalten und manches fehlt schlichtweg, da nicht alle Dritthersteller-Plugins unterstützt werden (können).
Es scheint, dass derzeit kein verfügbares Plugin eine vollständige Abdeckung aller DSGVO-Anforderungen bietet. Es wird empfohlen, individuelle Lösungen zu betrachten, da jede Website unterschiedliche Anforderungen hat. Es werden unterschiedliche Hosting-Anbieter genutzt, andere Plugins und Analytics-Skripte, Live-Chats oder Social-Media-Buttons – kurz gesagt es gibt dafür leider keine Rundum-glücklich-Lösung.
Daher empfehlen wir eine Kombination aus einer aktuellen Datenschutzerklärung, einem guten WordPress Cookie-Banner mit intelligentem Consent-Management, den in WordPress eingebauten Funktionen, angepassten Formularen mit aktiver Zustimmung sowie weiteren technischen WordPress-Anpassungen wo nötig.
WordPress Datenschutzerklärung: Generator mit Mustertexten
Damit Sie sich im Gesetzesdschungel rund um die DSGVO nicht verlieren, empfehlen wir den Einsatz eines kostenlosen Datenschutz-Generators. Als Agentur arbeiten wir seit mehreren Jahren erfolgreich mit eRecht24 zusammen – der Anbieter hat sich speziell auf die rechtlichen Bedürfnisse von Website-Betreibern spezialisiert und bietet unter anderem Hilfestellung zu Impressum und Datenschutzerklärung an. Unter anderem wird auch ein frei zugänglicher Datenschutz-Generator mit optionalen Mustertexten angeboten.
Das Formular von eRecht24 ist in mehrere übersichtliche Schritte aufgeteilt und oft in Form von Fragen realisiert. Füllen Sie alles sorgfältig und in Ruhe aus. Der Generator unterstützt Sie mit vielen Hilfetexten und Hinweisen, gerade weil die DSGVO-Rechtssituation komplexer ist. Füllen Sie daher alle Fragen und Eingabefelder vollständig und wahrheitsgemäß aus. Beachten Sie, dass sich viele Anwendungsfälle damit abdecken lassen, für einige Bereiche aber ein Premium-Zugang erforderlich ist.
Am Ende erhalten Sie per E-Mail einen kompletten Text, der dem aktuellen Stand der deutschen Rechtslage entspricht. Zwar koppelt eRecht24 die kostenlose Datenschutzerklärung per E-Mail an einen Newsletter, den Sie zuvor per Double-Opt-In bestätigen müssen – den Newsletter können Sie aber jederzeit wieder abbestellen.
WordPress-eigene Funktionen nutzen
Die WordPress-Entwickler von Automattic haben Teile des CMS bereits für die DSGVO angepasst und erweitert. Seit der Version WordPress 4.9.6 sind die GDPR-Compliance genannten Funktionen mit an Bord und je nachdem welche WordPress-Features Sie nutzen, wird bereits einiges abgedeckt. Konkret wurde eine eigene Einstellungsseite in WP-Admin (Einstellungen > Datenschutz) für die Datenschutzerklärung ergänzt. Es werden auch Textvorschläge für eine Datenschutzerklärung angezeigt – es kann vorteilhaft sein, einen externen Datenschutz-Generator zur Erstellung der Datenschutzerklärung zu verwenden. Diesen können Sie genauso gut in WordPress einbinden und er entspricht dem aktuellen Rechtsstand.
Hilfreicher dagegen sind die eingebauten Funktionen zum Export personenbezogener Daten sowie deren Löschung, die Sie unter Werkzeuge finden. Wenn Sie eine Auskunftsanfrage eines Benutzers erhalten, können Sie die von WordPress erfassten Daten an selbigen schicken lassen. Ebenfalls ist eine Löschung aller personenbezogenen Daten möglich.
Beachten Sie jedoch, dass das nur für registrierte Nutzer Ihrer Website klappt. Jeder also, der ein eigenes WordPress-Konto bei Ihnen hat, beispielsweise ein Kundenkonto für den Shop oder um Kommentare in Ihrem Blog zu schreiben. Alle anderen Besucher werden hier nicht erfasst und gespeichert.
Sichern Sie WordPress: SSL Verschlüsselung aktivieren (HTTPS)
Nicht nur aufgrund der Regelungen zum Datenschutz in der DSGVO, sondern auch im Telemediengesetz (vgl. §13, Abs. 7 TMG) ist die Verwendung einer sicheren Datenübertragung personenbezogener Daten gesetzlich vorgegeben. WordPress-Websites müssen demnach mittels technischer Maßnahmen abgesichert werden. Konkret bedeutet das, sobald ein Formular abgesendet oder ein Kaufvorgang durchgeführt wird bzw. andere datenschutzrelevante Prozesse ablaufen, muss die Übertragung mittels SSL verschlüsselt werden. Wir empfehlen den kompletten Datenverkehr Ihrer Website über HTTPS zu leiten, da sich daraus auch kleinere Vorteile bei der Google-Platzierung ergeben.
Ob Ihre Website bereits SSL-Verschlüsselung nutzt respektive über HTTPS geladen wird, sehen Sie in der Adresszeile Ihres Browsers. Dort sollte ein kleines Schloss gefolgt von https://… stehen – bei einigen älteren Browsern ggf. auch durch eine grüne Hervorhebung gekennzeichnet. Ist das, wie im gezeigten Beispiel der Fall, brauchen Sie nichts weiter zu tun.
Sollte Ihre Website noch nicht via HTTPS aufrufbar sein, empfehlen wir Ihnen dringend die Beauftragung eines SSL-Zertifikates bei Ihrem Hosting-Provider. Viele Anbieter stellen mittlerweile kostenlose Zertifikate von Let’s Encrypt zur Verfügung, die für die meisten Anwendungsfälle vollkommen ausreichend sind.
Sobald Sie ein Zertifikat für Ihre Domain hinterlegt haben, muss WordPress noch auf HTTPS umgestellt werden – gehen Sie dazu im Administratorbereich auf Einstellungen und fügen Sie in beiden Adresszeilen ein S hinzu, so dass die Adresse Ihrer Website https://meine-website.de lautet. Klicken Sie danach auf Änderungen speichern.
Aller Datenverkehr zwischen den Benutzern Ihrer Website und dem Server sollte ab jetzt verschlüsselt laufen. Ein weiteres Plus: Ihr Administrator-Passwort wird ebenfalls nicht mehr unverschlüsselt übertragen – wir empfehlen es nach der Umstellung auf ein sicheres Passwort zu ändern.
In der Regel gibt es noch ein paar Stellen in WordPress, an denen Pfade geändert werden sollten – z. B. bei eingebundenen Bildern. Da das etwas technisches Know-How erfordert, da an einigen Stellen gesucht werden muss, raten wir Ihnen sich dafür professionelle Hilfe zu holen – unser Team hilft Ihnen gerne weiter!
Kontaktformulare rechtssicher gestalten
Die meisten Websites stellen irgendeine Form von Kontaktmöglichkeit bereit – sehr beliebt sind Kontaktformulare. Nutzen Sie ein entsprechendes Kontaktformular-Plugin, müssen Sie auch hier für eine DSGVO-konforme Umsetzung sorgen.
In der praktischen Anwendung heißt das, Nutzer müssen vor dem Absenden eines Formulars, in das personenbezogene Daten eingegeben werden, zunächst die Datenschutzerklärung bestätigen. Am Beispiel des beliebten WordPress-Plugins Contact Form 7 zeigen wir, wie Sie eine entsprechende Checkbox ergänzen.
- Klicken Sie im Administratorbereich von WordPress (WP-Admin) links auf Formulare
- Wählen Sie das Formular aus, das Sie bearbeiten möchten
- Fügen Sie dem Formular nach allen Eingabefeldern eine Checkbox mit Klick auf Zustimmung hinzu.
Achten Sie darauf, dass der Haken bei Diese Checkbox als optional einstellen nicht gesetzt ist.
Als Bedingung empfehlen wir einen Hinweis auf Ihre Datenschutzerklärung (Mustertext, siehe unten)
Mustertext (ändern Sie unbedingt den Link):Ich habe die <a href="https://ihre-website.de/datenschutz/" title="Datenschutzerklärung " target="_blank">Datenschutzerklärung</a> zur Kenntnis genommen.
- Klicken Sie auf Tag einfügen.
- Speichern Sie anschließend das Formular
Testen Sie nach erfolgreicher Speicherung unbedingt, ob das Kontaktformular noch funktioniert, indem Sie sich selbst eine Nachricht senden. Wiederholen Sie den Prozess bei Bedarf, falls Sie mehrere Formulare auf Ihrer Website eingebunden haben.
Auftragsverarbeitungsvertrag abschließen - wann brauchen Sie einen AV-Vertrag?
Sobald Sie einen externen Dienstleister nutzen benötigen Sie einen AV-Vertrag. Denn alle personenbezogenen Daten die Sie erheben, aber an anderer Stelle gespeichert oder verarbeitet werden, fallen unter besondere gesetzliche Regelungen. Die Auftragsverarbeitung von Daten ist im Rahmen der DSGVO definiert und zulässig, solange Sie einen entsprechenden Vertrag geschlossen haben.
Was bedeutet das konkret in der Praxis und welche Dienstleister fallen unter diese Regelung? Nachfolgend einige Beispiele:
- Hosting: Wenn Sie keinen eigenen Server betreiben und Ihre Website bei einem Hosting-Anbieter liegt, müssen Sie mit diesem einen AV-Vertrag schließen
- Analytics: Für externe Dienste wie Google Analytics müssen Sie ebenfalls einen Vertrag abschließen
- Newsletter: Ebenfalls unter die Regelung fallen Newsletteranbieter wie MailChimp oder Rapidmail, die personenbezogene Daten wie E-Mail-Adressen von Ihnen erhalten und verarbeiten
- Agentur oder IT-Dienstleister: Wenn beispielsweise wir als Agentur Websites betreuen, schließen wir mit unseren Kunden einen AV-Vertrag ab. Denn jeder Dienstleister, der Ihre Website betreut, hat zwangsläufig auch Zugriff auf personenbezogene Daten Ihrer Nutzer
Gerade große Anbieter wie zahlreiche deutsche Hoster oder Google bieten den Vertragsschluss standardisierte Formulare an, die Sie mit wenigen Klicks bestätigen können. Sollte Ihr Anbieter das nicht tun, fragen Sie dort unbedingt nach, da Sie als Betreiber in der Pflicht sind für eine ordnungsgemäße Datenverarbeitung zu sorgen.
Fazit
Die DSGVO hat im Jahr 2018 einiges für Betreiber von Websites auf den Kopf gestellt – auf einmal musste an vielen Stellen deutlich genauer hingesehen werden, da nicht nur Abmahnungen, sondern auch hohe Strafen drohen. Wir haben in diesem Beitrag einige potentiell problematische Stellen von Websites allgemein, und WordPress im speziellen, aufgezeigt und Lösungen präsentiert. Darunter finden sich sehr wichtige Themen wie SSL-Verschlüsselung, Consent-Management (Cookie-Plugin), AV-Verträge, Kontaktformulare, Datenschutzklärung sowie Export von Nutzerdaten.
Wie so häufig deckt das noch nicht alle Punkte ab, denn jede Website ist anders und verwendet unter Umständen kritische Plugins oder andere nicht-DSGVO-konforme Implementierungen. Hier lohnt sich die Prüfung des Einzelfalls durch einen Profi.
Seit Inkrafttreten der Datenschutzgrundverordnung haben wir zahlreiche Websites an die Vorgaben angepasst und unsere internen Prozesse nach Erfahrungen und Gerichtsentscheidungen sowie Rücksprache mit Datenschutzbeauftragten immer weiter verbessert. Die Bedeutung des Datenschutzes wird weiterhin bestehen, da die gesetzlichen Vorgaben streng bleiben und sich stetig weiterentwickeln können. Es wird empfohlen, sich stets über die neuesten Entwicklungen im Datenschutzrecht zu informieren, um eine hohe Sicherheit zu gewährleisten. Aufgrund solcher Dynamiken heißt das manchmal auch, dass nachträglich noch Änderungen an einer Website notwendig sind.
Setzt Ihre Website alle aktuellen Vorgaben schon um?
Es ist ratsam zu überprüfen, ob Ihre Website alle aktuellen DSGVO-Vorgaben umsetzt. Eine Überprüfung kann auf der Grundlage eines umfangreichen Katalogs an DSGVO-Maßnahmen erfolgen. Technisch oder rechtlich notwendige Anpassungen setzen wir für Sie um und stellen für Sie Kontakt zu Kanzleien und Datenschutzbeauftragten her. Vereinbaren Sie noch heute ein Beratungsgespräch!
Hinweis: Die mit Sternchen (*) gekennzeichneten Verweise sind sogenannte Provision-Links. Klicken Sie auf einen solchen Link und kaufen darüber ein, erhalten wir von diesem Einkauf eine Provision. Der Preis für Sie ändert sich dadurch nicht.
jonas@aweos.de
0212 / 250 852 - 54