Am 25.05.2018 tritt die neue Datenschutzgrundverordnung (DSGVO, engl. GDPR) in Kraft. Viele Webseiten müssen hierfür Änderungen vornehmen. Ich habe mich in den letzten Wochen verstärkt mit der DSGVO beschäftigt und möchte euch mit diesem Artikel eine Checkliste zur Verfügung stellen. Insbesondere gehe ich darauf ein was bei der Nutzung von WordPress zu beachten ist.
Disclaimer: Das Wissen in diesem Beitrag habe ich mit größter Sorgfalt recherchiert. Ich übernehme keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen. Diese Informationen sind allgemeiner Art und stellen keine Rechtsberatung dar.
Allgemeine Grundsätze der DSGVO
Sie verarbeiten personenbezogene Daten in Ihrem Unternehmen? Dann sind Sie durch die DSGVO verpflichtet, „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.
Die Verarbeitung der Daten muss den allgemeinen Grundsätzen der DSGVO entsprechend rechtmäßig und transparent sein. Außerdem muss der Zweck für die betroffene Person eindeutig, verständlich, nachvollziehbar sein. Zudem muss die betroffene Person der Datenverarbeitung zustimmen. Sie hat das Recht jederzeit Auskunft darüber zu erhalten, ob und wie ihre personenbezogenen Daten verarbeitet werden. Wenn sie es möchte, müssen Sie ihre Daten löschen.
Für wen gilt die DSGVO?
Die DSGVO gilt für alle in der EU ansässigen Unternehmen (sowie Niederlassungen, Freiberufler, Vereine und öffentlichen Stellen) welche welche personenbezogene Daten verarbeiten, unabhängig von ihrer Größe. Auch betroffen sind Betriebe außerhalb der EU welche EU-Bürgern Waren oder Dienstleistungen anbieten.
Ziel ist die Anpassung des Datenschutzrechts an das digitale Zeitalter und die einheitliche Regelung in den EU-Mitgliedsstaaten. Zu personenbezogene Daten zählen zum Beispiel: Name, Adresse, E-Mail, IP-Adresse…
Weitere Infos zur DSGVO finden Sie zum Beispiel auf dieser Seite von e-recht24.de.
DSGVO Checkliste für WordPress-Webseiten
1. Impressum
Das Impressum muss nach wie vor vorhanden und valide sein. Sie können sich zum Beispiel auf der Webseite vom Herrn Dr. Schwenke ein DSGVO konformeres Impressum generieren lassen.
2. Datenschutzerklärung
Genauso wie das Impressum musste bisher auch eine Datenschutzerklärung vorhanden sein. Das DSGVO verlangt aber jetzt eine ausführlichere Fassung in welcher über alle Dienste und Wege personenbezogener Daten aufklärt. Genauso wie fürs Impressum könnt ihr hierfür den Generator vom Herrn Dr. Schwenke verwenden.
3. Cookie Hinweis
Hier handelt es sich zum Beispiel um ein kleines Banner welches Besucher der Webseite über die Verwendung von Cookies informiert. Dieser Hinweis gehört auf jede Webseite welche Cookies nutzt und ist schon länger von Seiten von Google Pflicht. Bitte darauf achten das der Cookie Hinweis den Link zum Impressum oder der Datenschutzerklärung nicht verdeckt.
4. SSL Verschlüsselung und Aufklärungspflicht bei Online Formularen
Bieten Sie zum Beispiel ein Kontaktformular an, kümmern Sie sich um die Einrichtung einer SSL-Verschlüsselung. Ebenfalls müssen Sie Checkbox integrieren, über die die Nutzer der Datenverarbeitung zustimmen müssen. Zudem müssen Sie darüber informieren wie die Daten nutzen und wie lange diese gespeichert werden. Der Hinweis könnte wie folgt aussehen:
Mit der Nutzung dieses Formulars erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden. Diese Einwilligung kann ich jederzeit mit einer Nachricht an uns widerrufen. Weitere Informationen entnehmen Sie der Datenschutzerklärung.
5. Newsletter
Ähnlich wie bei Online Formularen verhält es sich bei Newslettern. Wichtig ist du Nutzung des Double Opt In Verfahrens. Zudem muss ebenso wie bei Kontaktformularen auf die Datenverarbeitung aufmerksam gemacht werden. Wenn Sie Dienste wie Mailchimp nutzen muss zusätzlich ein Auftragsdatenverabeitungsvertrag geschlossen werden. Die Datenschutzerklärung müssen Sie entsprechend ergänzen.
6. Google Analytics und weitere Tracking Dienste
Wenn Sie Google Analytics nutzen müssen sie folgendes beachten:
- IP Anonymisierung
- Hinweis in der Datenschutzerklärung
- Opt-Out Möglichkeit in der Datenschutzerklärung (zum Beispiel über das Plugin Google Analytics Opt-Out)
- Auftragsdatenverarbeitungsvertrag mit Google (Online bei Google Analytics möglich)
- Einstellen der Dauer der Datenaufbewahrung im Google Analytics Dashboard (Verwaltung->Property->Tracking-Information->Datenaufbewahrung
Gleich verhält es sich bei anderen Tracking-Diensten. Sie möchten mit Matomo Ihren eigenen Tracking Dienst einrichten? Mehr dazu in diesem Artikel „Auf dem eigenen Server das Webanalytik Tool Matomo (Piwik) installieren„.
7. Google Fonts
Viele Themes laden die Schriften für die Webseite direkt von den Google Servern. Hierfür werden zwischen den Servern Daten ausgetauscht, wie zum Beispiel die IP-Adresse. Daher sollten die Daten am besten lokal geladen werden. Bei den Schriften wie Google Fonts lässt sich das laden vom externen Servern meist unterbinden.
Kurz zusammengefasst ist folgendes zu tun:
- Die Schriftart hier auswählen und herunterladen
- Die heruntergeladene Font auf den Server hochladen
- Die Font mit einem Code Snippet über deine style.css Datei einbinden (Codebeispiel nachfolgend)
- Per Plugin die Abfragen zum Google Server blocken (Autoptimize oder Remove Google Fonts References)
- Prüfen ob es noch eine Verbindung zum Server gibt (Seite mit Chrome oder Firefox untersuchen dann zum Reiter Sources wechseln)
@font-face { font-family: 'Roboto'; src: url('roboto.woff2') format('woff2'), url('roboto.woff') format('woff'); font-weight: normal; font-style: normal; }
8. Emojis deaktivieren
Ähnlich wie bei den Google Fonts verhält es sich auch bei Emojis. Wenn ein Smiley veröffentlicht wird zeigt WordPress ein Emoji an. Hier werden IP Adressen ausgetauscht. Das zu verhindern hilft das Plugin „Disable Emojis“ oder der folgende Code in der funktions.php:
remove_action( 'wp_head', 'print_emoji_detection_script', 7 ); remove_action( 'admin_print_scripts', 'print_emoji_detection_script' ); remove_action( 'wp_print_styles', 'print_emoji_styles' ); remove_action( 'admin_print_styles', 'print_emoji_styles' );
9. Gravatare deaktivieren
Auch hier werden zum Beispiel IP-Adressen mit den externen Servern ausgetauscht. Dies ist so nicht zulässig. Deswegen deaktivieren Sie die Gravatare in WordPress unter Einstellungen->Diskussion->Avatare.
10. Kommentare anonymisieren und den Datenverarbeitungshinweis ergänzen
Wenn Besucher Kommentare hinterlassen speichert WordPress normalerweise die IP-Adresse in der Datenbank. Das verhindert zum Beispiel das Plugin „Remove Comment IPs“ oder sie hinterlegen folgenden Code in der functions.php:
function wpb_remove_commentsip( $comment_author_ip ) { return ''; } add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );
Genauso wie bei Online Formularen und Newsletteranmeldungen müssen die Nutzer beim hinterlassen von Kommentaren die Checkbox bestätigen, das Sie der Datenverarbeitung zustimmen. Diese Checkbox legt für Sie das Plugin „WP GDPR Compliance“ an.
11. Google reCAPTCHA
Für Google reCAPTCHA gibt es noch keine klare Aussage ob die Nutzung dieser hilfreichen Spamschutztools nach der DSGVO noch möglich ist. Wenn man ReCaptcha weiter auf der Webseite nutzen will, sollte auf jeden Fall der Einsatz in der Datenschutzerklärung dargestellt werden.
12. Google Maps
Bei Verwendung von Google Maps sollte der Hinweis in der Datenschutzerklärung zu finden sein. Bei der Nutzung von Maps werden Cookies geladen. Deswegen ist im Moment nicht ganz klar ob die Verwendung in Ordnung ist.
13. Youtube
Wenn man zum Beispiel Youtube Videos per iFrame (iFrames sollten generell nicht mehr genutzt werden) oder URL einbindet tauscht man Daten mit dem Server aus. Ein Auftragsdatenverarbeitungsvertrag mit Youtube sollte geschlossen werden. Mit dem Plugin WP Youtube Lyte zum Beispiel lässt sich Youtube datenschutzkonform einbinden.
14. Backup in externe Cloudspeicher
Wer seine Backups nur lokal speichert sollte keine Probleme haben. Anders verhält es sich bei externen Cloudspeichern sobald personenbezogene Daten gespeichert werden. Besonders wenn die Anbieter außerhalb der EU ihren sitzt haben. Vergessen Sie nicht den Auftragsdatenverarbeitungsvertrag mit dem Service Anbieter zu schließen.
15. Plugins
Prüfen Sie alle verwendeten Plugins daraufhin, ob Sie personenbezogene Daten erheben und speichern. Beispiele für solche Plugins können unter anderem Erweiterungen wie WooCommerce, MailPoet, Download Monitor und Gravity Forms sein. Fügen Sie diese Erweiterungen Ihren Datenschutzbestimmungen zu. Es gibt verschiedene Seiten welche Plugins auflisten und ihre Datenschutzkonformität beschreiben.
Plugins, die nach der DSGVO Probleme machen
- Social Media Plugins
- Analytics Plugins
- Google Maps Plugins
- Security Plugins
- Newsletter Plugins
- Font Plugins
16. Weitere Punkte zusammengefasst
- Melden Sie sich im Falle einer „Datenpanne“ innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde
- Führen Sie ein Verzeichnis von Datenverarbeitungstätigkeiten
- Aktualisieren Sie WordPress auf die Version 4.9.6
Zurück