Die 7 wichtigen Aufgaben für eine DSGVO-konforme WordPress-Website
- WordPress testen mit TasteWP (kostenlos) – Die beste Lösung für Einsteiger in 2024 - 19. Juni 2024
- WordPress Website erstellen – in 4 Tagen vom Konzept bis zum Launch - 12. Januar 2024
- 6 wichtige WordPress Seiten, die Deine Website haben sollte - 10. Januar 2024
Kein Tag vergeht aktuell ohne Meldungen, Berichte und Einschätzungen über die DSGVO (Datenschutz- Grundverordnung). Die DSGVO ist DAS große Thema, das derzeit alle online tätigen Unternehmen verbindet.
Obwohl die Zeit bis zum Inkrafttreten der DSGVO am 25. Mai 2018 nicht mehr lang ist, besteht zunächst einmal kein Grund zur Panik. Für das einzelne Unternehmen stellen sich eine ganze Reihe von Fragen und auch gewisse Grauzonen. So wenden sich derzeit viele unserer Kunden an uns mit der Frage, was sie konkret im Hinblick auf ihre Website tun müssen.
Deshalb möchten wir in diesem Beitrag die 7 wichtigsten Aufgabenfelder erläutern, die Du als Website-Betreiber zu beachten hast, um Deine Website DSGVO-konform zu gestalten. Mit unserem Partner WP-Wartung24 geben wir Dir dazu auch konkrete Angebote zur Unterstützung mit, insbesondere einen DSGVO-Check.
(Dieser Artikel ersetzt keine Rechtsberatung. Wir haben uns intensiv mit den neuen Datenschutzbestimmungen beschäftigt und empfehlen Dir nun Maßnahmen, erheben aber nicht den Anspruch auf Vollständigkeit und Richtigkeit und übernehmen dafür keine Haftung.)
Inhaltsverzeichnis
- 1 Worum geht es bei der DSGVO überhaupt?
- 2 Aufgabe 1: Mache eine Bestandsaufnahme.
- 3 Aufgabe 2: Passe Deine Datenschutzerklärung an.
- 4 Aufgabe 3: Sichere Anonymität bei der Datenübertragung.
- 5 Aufgabe 4: Halte Theme und Plugins DSGVO-konform.
- 6 Aufgabe 5: Stelle Deine Marketing Tools DSGO-konform ein.
- 7 Aufgabe 6: Erstelle ein Verarbeitungsverzeichnis.
- 8 Aufgabe 7: Schließe Auftragsverarbeitungsverträge (AVVs) ab.
- 9 Unterstützung bei der Analyse und Anpassung Deiner Website
Worum geht es bei der DSGVO überhaupt?
Die Grundverordnung regelt in allen EU-Mitgliedsstaaten den Umgang mit personenbezogenen Daten. Dazu zählen:
- Name
- Adresse
- Email-Adresse
- Telefonnummer
- Geburtsdatum
- Kontodaten
- IP-Adressen
- Standortdaten
- Nutzerverhalten
Nur Daten, die gänzlich anonymisiert werden, gelten nicht mehr als personenbezogen.
Jedes Unternehmen erhebt, verwendet und speichert somit personenbezogene Daten. Auch als Webseitenbetreiber verarbeitest Du solche Daten. Dies erfolgt direkt oder auch indirekt an folgenden Stellen:
- WordPress-Kommentarfunktion
- Registrierungsmöglichkeiten (Shop, Mitgliederbereiche)
- Kontaktformular
- Analyse- und Tracking-Tools (Google Analytics, Facebook Pixel)
- diverse Plugins
Was kannst Du nun tun, um Deine Website DSGVO-konform zu betreiben? In den folgenden Aufgaben solltest Du Dich am besten von außen nach innen vorarbeiten. Zuerst kümmerst Du Dich um das, was nach außen auf Deiner Website sichtbar ist. Danach erstellst Du alle notwendigen Dokumente und Verzeichnisse.
Aufgabe 1: Mache eine Bestandsaufnahme.
Erstelle eine einfache Tabelle mit allen Informationen zur Datenerhebung auf Deiner Website. Erfasse genau, welche Daten Du direkt erhebst:
- Welche Formularfelder fragst Du ab?
- Warum fragst Du sie ab?
- Welche Felder sind Pflichtfelder? Und informierst Du über diese Erhebung?
Prüfe, welche Tools (Plugins, Newsletter-Systeme,…) auf Deiner Website indirekt Daten erheben.
- Sind die Kontaktformulare okay, erfolgt die Kommunikation SSL-verschlüsselt?
- Gibt es gegebenenfalls Optin- oder Optout-Möglichkeiten?
- Informierst Du schon über diese Erhebung?
- Gibt es hinsichtlich Blog-Kommentarfunktion, Emojis, Google Fonts, Youtube-Videos, etc. problematische Bereiche?
Möchtest Du das Durchchecken Deiner Website und die erforderlichen Maßnahmen nicht selbst machen, dann empfehlen wir Dir den DSGVO-Check von unserem Partner WP-Wartung24.
Aufgabe 2: Passe Deine Datenschutzerklärung an.
Die Datenschutzerklärung ist das, was am einfachsten zu kontrollieren ist. Deshalb solltest Du hier ein großes Hauptaugenmerk darauf legen. Informiere ausführlich und in leicht verständlicher Sprache darüber, welche Daten Du wo, warum und mit welcher Rechtsgrundlage erhebst.
Lasse Dich im Zweifel von einem Rechtsanwalt oder Datenschützer beraten, oder nutze den Service von eRecht24, die im Premium-Abo einen Generator zur Erstellung einer Datenschutzerklärung anbieten. Prüfe aber auch hier, ob alle Aspekte Deines Unternehmens und Deiner Website berücksichtigt werden.
Aufgabe 3: Sichere Anonymität bei der Datenübertragung.
Formulare
Bietest Du auf Deiner Website ein Kontaktformular an, so informiere direkt am Formular über die Verwendung der Daten und ergänze die Datenschutzerklärung entsprechend. Hör Dir dazu eine sehr interessante Stellungnahme über den DSGVO-konformen Einsatz von Kontaktformulare von Rechtsanwalt Stephan Hansen-Hoest.
Ein weiteres Formular auf Deiner Website ist das Kommentarformular. Hier speichert WordPress die IP-Adressen der Kommentarschreiber. Dies kannst Du zum Beispiel durch ein kleines Plugin Remove IP unterbinden.
Standardmäßig sind die Angabe von Name und Email-Adresse Pflichtangaben bei der Erstellung eines Kommentars. Im Dashboard unter „Einstellungen – Diskussion“ kann diese Voreinstellung deaktiviert werden. Informiere am Kommentarformular klar über die Verwendung der Daten.
SSL-Verschlüsselung
Ohne eine SSL-Verbindung ist keine sichere Datenübertragung möglich. Daher benötigst Du zwingend für Deine Website ein gültiges SSL-Zertifikat, wenn darüber User mit Dir kommunizieren. Dies ist beispielsweise der Fall, wenn Du ein Kontaktformular verwendest. Du erkennst eine sichere und verschlüsselte Website an dem HTTPS in der Adresszeile.
Die Umstellung auf HTTPS, also auf die SSL-Verschlüsselung kannst Du auch direkt über unseren Partner WP-Wartung24 machen lassen.
Aufgabe 4: Halte Theme und Plugins DSGVO-konform.
Plugins
Überprüfe Deine installierten Plugins und Widgets auf DSGVO-Konformität, da einige Plugins personenbezogene Daten weitergeben. Kritisch sind Plugins wie Akismet, Gravatar und Jetpack. Setze als Antispam-Schutz lieber auf Antispam Bee, das sich mit den richtigen Einstellungen DSGVO-konform einsetzen lässt.
Gravatare können im Dashboard unter Einstellungen deaktiviert werden.
Eine umfangreiche Liste mit WordPress-Plugins im DSGVO-Check hat Finn Hillebrandt von Blogmojo zusammengestellt.
Eine gute Sicherheitsüberwachung und regelmäßige WordPress- und Plugin-Updates sorgen außerdem für notwendige WordPress Sicherheit. Auch dazu kann ich wieder absolut die Spezialisten von WP-Wartung24 empfehlen.
Ob überhaupt einzelne Plugins bei Dir kritisch sein könnten, wird natürlich auch im DSGVO-Check untersucht.
Cookie Banner
Willst Du nicht mit Deiner Website abgemahnt werden, solltest Du unbedingt einen Cookie-Banner einsetzen und somit auf den Einsatz von Cookies hinweisen. Ausführliche Informationen zu der rechtlichen Seite von Cookies findest Du bei eRecht24. Bitte beachte, dass Dein Cookie-Banner in keinem Fall Deine Links zu Deinen Datenschutz- und Impressums-Seiten überdecken darf.
Aufgabe 5: Stelle Deine Marketing Tools DSGO-konform ein.
Google Analytics
Um das Analyse-Tool Google Analytics datenschutzkonform einsetzen zu können, müssen folgende Punkte umgesetzt werden:
- Auftragsverarbeitungsvertrag und Zusatz zur Datenverarbeitung mit Google abschließen
- Maskierung der IP-Adresse („anonymizeIP“)
- Widerspruchsmöglichkeiten (Opt-out): Deaktivierungs-Add-On und Disabling Tracking bieten. Google gibt dazu hier eine Hilfestellung.
- Entsprechende Hinweise in Deiner Datenschutzerklärung
- Keine Aktivierung der User-ID
Facebook-Marketing
Verwendest Du den Facebook Pixel ohne erweiterten Abgleich, musst Du darüber detailliert in der Datenschutzerklärung informieren und eine Opt-Out-Möglichkeit bieten. Nutzt Du den Facebook Pixel mit “Custom Audiences”, ist zusätzlich eine Einwilligung, ein Opt-In notwendig. Eine Anleitung für einen rechtssicheren Einsatz bietet der Rechtsanwalt Dr. Schwenke.
Newsletter
Nutzt Du Email-Marketing? Dann müssen diese Prozesse angepasst werden. In den Anmeldeformularen darf nur die Email-Adresse als Pflichtfeld abgefragt werden. Unerlässlich ist das Double-Opt-In-Verfahren, mit dem der Empfänger nach der Anmeldung seine Email-Adresse und den Wunsch, in den Verteiler aufgenommen zu werden, bestätigt.
Informiere direkt am Formular über Inhalt und Versendehäufigkeit Deines Newsletters. Verlinke direkt auf Deine Datenschutzerklärung, in der Du nochmals ausführlich über Deinen Email-Marketing-Prozess informierst.
Aufgabe 6: Erstelle ein Verarbeitungsverzeichnis.
Die DSGVO verlangt von jedem Unternehmen den Nachweis des Datenschutzes. Kernstück ist das Verfahrensverzeichnis all Deiner Verarbeitungstätigkeiten.
Führe hier sämtliche Vorgänge Deines Unternehmens auf, bei denen Du personenbezogene Daten verarbeitest. Dazu gehören folgende Informationen:
- Name und Kontakt des Verantwortlichen
- Art und Zweck der Verarbeitung
- Betroffene Personengruppen und Datenkategorien
- Quelle der Daten
- Rechtsgrundlage für die Verarbeitung
- Interne und externe Empfänger der Daten (mögliche Auftragsverarbeiter)
- Vorgesehene Löschfristen der Daten (wenn möglich)
- Sicherheitskonzept
Muster für Verfahrensverzeichnisse:
GDD-Praxishilfe DS-GVO V: Verzeichnis von Verarbeitungstätigkeiten
Datenschutzverzeichnis mit Muster von Regina Stoiber
Muster der Activemind AG: Verzeichnis von Verarbeitungstätigkeiten nach DSGVO
Aufgabe 7: Schließe Auftragsverarbeitungsverträge (AVVs) ab.
Kommt ein Drittanbieter bei der Verarbeitung von personenbezogenen Daten mit ins Spiel, benötigst Du mit diesem Anbieter einen sogenannten Auftragsverarbeitungsvertrag (AVV) , der regelt, wie das Unternehmen die Daten in Deinem Auftrag verarbeitet und schützt.
Beispiele für solche Auftragsverarbeiter sind: Hoster, Newsletter-Dienste, Google Analytics, Affiliate-Programme, Cloud-Dienste.
Eine Liste mit Links zu den AVVs diverser Drittabieter findest Du bei Blogmojo: ADV-Verträge für Blogger & Online-Unternehmer.
Außerdem findest Du hier dazu Muster:
Bayerisches Landesamt für Datenschutzaufsicht | Muster für einen Auftragsverarbeitungsvertrag
GDD: Mustervertrag zur Auftragsverarbeitung
Unterstützung bei der Analyse und Anpassung Deiner Website
Dies war ein erster Überblick über die 7 wichtigen Maßnahmenblöcke, die Du als Website-Betreiber umsetzen solltest.
Wenn Du das systematische Überprüfen Deiner eigenen Website und die erforderlichen Maßnahmen lieber abgeben möchtest, dann empfehlen wir Dir den DSGVO-Check von unserem Partner WP-Wartung24.
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!