Die 7 wichtigen Aufgaben für eine DSGVO-konforme WordPress-Website

Kein Tag vergeht aktuell ohne Meldungen, Berichte und Einschätzungen über die DSGVO (Datenschutz- Grundverordnung). Die DSGVO ist DAS große Thema, das derzeit alle online tätigen Unternehmen verbindet. 

Obwohl die Zeit bis zum Inkrafttreten der DSGVO am 25. Mai 2018 nicht mehr lang ist, besteht zunächst einmal kein Grund zur Panik. Für das einzelne Unternehmen stellen sich eine ganze Reihe von Fragen und auch gewisse Grauzonen. So wenden sich derzeit viele unserer Kunden  an uns mit der Frage, was sie konkret im Hinblick auf Ihre Website tun müssen. 

Deshalb möchten wir in diesem Beitrag die 7 wichtigsten Aufgabenfelder erläutern, die Sie als Website-Betreiber zu beachten haben, um Ihre Website DSGVO-konform zu gestalten. Mit unserem Partner WP-Wartung24 geben wir Ihnen dazu auch konkrete Angebote zur Unterstützung mit, insbesondere einen DSGVO-Check.

(Dieser Artikel ersetzt keine Rechtsberatung. Wir haben uns intensiv mit den neuen Datenschutzbestimmungen beschäftigt und empfehlen Ihnen nun Maßnahmen, erheben aber nicht den Anspruch auf Vollständigkeit und Richtigkeit und übernehmen dafür keine Haftung.)

Worum geht es bei der DSGVO überhaupt?

Die Grundverordnung regelt in allen EU-Mitgliedsstaaten den Umgang mit personenbezogenen Daten. Dazu zählen:

• Name
• Adresse
• Email-Adresse
• Telefonnummer
• Geburtsdatum
• Kontodaten
• IP-Adressen
• Standortdaten
• Nutzerverhalten

Nur Daten, die gänzlich anonymisiert werden, gelten nicht mehr als personenbezogen.

Jedes Unternehmen erhebt, verwendet und speichert somit personenbezogene Daten. Auch als Webseitenbetreiber verarbeiten Sie solche Daten. Dies erfolgt direkt oder auch indirekt an folgenden Stellen:

• WordPress-Kommentarfunktion
• Registrierungsmöglichkeiten (Shop, Mitgliederbereiche)
• Kontaktformular
• Analyse- und Tracking-Tools (Google Analytics, Facebook Pixel)
• diverse Plugins

Was können Sie nun tun, um Ihre Website DSGVO-konform zu betreiben? In den folgenden Aufgaben sollten Sie sich am besten von außen nach innen vorarbeiten. Zuerst kümmern Sie sich um das, was nach außen auf Ihrer Website sichtbar ist. Danach erstellen Sie alle notwendigen Dokumente und Verzeichnisse.

Aufgabe 1: Machen Sie eine Bestandsaufnahme.

Erstellen Sie eine einfache Tabelle mit allen Informationen zur Datenerhebung auf Ihrer Website. Erfassen Sie genau, welche Daten Sie direkt erheben:

• Welche Formularfelder fragen Sie ab?
• Warum fragen Sie sie ab?
• Welche Felder sind Pflichtfelder? Und informieren Sie über diese Erhebung?

Prüfen Sie, welche Tools (Plugins, Newsletter-Systeme,…) auf Ihrer Website indirekt Daten erheben.

• Sind die Kontaktformulare okay, erfolgt die Kommunikation SSL-verschlüsselt?
• Gibt es gegebenenfalls Optin- oder Optout-Möglichkeiten?
• Informieren Sie schon über diese Erhebung?
• Gibt es hinsichtlich Blog-Kommentarfunktion, Emojis, Google Fonts, Youtube-Videos, etc. problematische Bereiche?

Möchten Sie das Durchchecken Ihrer Website und die erforderlichen Maßnahmen nicht selbst machen, dann empfehlen wir Ihnen den DSGVO-Check von unserem Partner WP-Wartung24.

Aufgabe 2: Passen Sie Ihre Datenschutzerklärung an.

Die Datenschutzerklärung ist das, was am einfachsten zu kontrollieren ist. Deshalb sollten Sie hier ein großes Hauptaugenmerk darauf legen. Informieren Sie ausführlich und in leicht verständlicher Sprache darüber, welche Daten Sie wo, warum und mit welcher Rechtsgrundlage erheben.

Lassen Sie sich im Zweifel von einem Rechtsanwalt oder Datenschützer beraten, oder nutzen Sie den Service von eRecht24, die im Premium-Abo einen Generator zur Erstellung einer Datenschutzerklärung anbieten. Prüfen Sie aber auch hier, ob alle Aspekte Ihres Unternehmens und Ihrer Website berücksichtigt werden.

Aufgabe 3: Sichern Sie Anonymität bei der Datenübertragung.

Formulare

Bieten Sie auf Ihrer Website ein Kontaktformular an, so informieren Sie direkt am Formular über die Verwendung der Daten und ergänzen die Datenschutzerklärung entsprechend. Hören Sie dazu eine sehr interessante Stellungnahme über den DSGVO-konformen Einsatz von Kontaktformulare von Rechtsanwalt Stephan Hansen-Hoest.

Ein weiteres Formular auf Ihrer Website ist das Kommentarformular. Hier speichert WordPress die IP-Adressen der Kommentarschreiber. Dies können Sie zum Beispiel durch ein kleines Plugin Remove IP unterbinden.

Standardmäßig sind die Angabe von Name und Email-Adresse Pflichtangaben bei der Erstellung eines Kommentars. Im Dashboard unter „Einstellungen – Diskussion“ kann diese Voreinstellung deaktiviert werden. Informieren Sie am Kommentarformular klar über die Verwendung der Daten.

SSL-Verschlüsselung

Ohne eine SSL-Verbindung ist keine sichere Datenübertragung möglich. Daher benötigen Sie zwingend für Ihre Website ein gültiges SSL-Zertifikat, wenn darüber User mit Ihnen kommunizieren. Dies ist beispielsweise der Fall, wenn Sie ein Kontaktformular verwenden. Sie erkennen eine sichere und verschlüsselte Website an dem HTTPS in der Adresszeile.

Die Umstellung auf HTTPS, also auf die SSL-Verschlüsselung können Sie auch direkt über unseren Partner WP-Wartung24 machen lassen.

Aufgabe 4: Halten Sie Theme und Plugins DSGVO-konform.

Plugins

Überprüfen Sie Ihre installierten Plugins und Widgets auf DSGVO-Konformität, da einige Plugins personenbezogene Daten weitergeben. Kritisch sind Plugins wie Akismet, Gravatar und Jetpack. Setzen Sie als Antispam-Schutz lieber auf Antispam Bee, das sich mit den richtigen Einstellungen DSGVO-konform einsetzen lässt.

Gravatare können im Dashboard unter Einstellungen deaktiviert werden.

Eine umfangreiche Liste mit WordPress-Plugins im DSGVO-Check hat Finn Hillebrandt von Blogmojo zusammengestellt.

Eine gute Sicherheitsüberwachung und regelmäßige WordPress- und Plugin-Updates sorgen außerdem für notwendige Sicherheit. Auch dazu kann ich wieder absolut die Spezialisten von WP-Wartung24 empfehlen.

Ob überhaupt einzelne Plugins bei Ihnen kritisch sein könnten, wird natürlich auch im DSGVO-Check untersucht.

Cookie Banner

Willst Du nicht mit Deiner Website abgemahnt werden, solltest Du unbedingt einen Cookie-Banner einsetzen und somit auf den Einsatz von Cookies hinweisen.  Ausführliche Informationen zu der rechtlichen Seite von Cookies finden Sie bei eRecht24. Bitte beachten Sie, dass Ihr Cookie-Banner in keinem Fall Ihre Links zu Ihren Datenschutz- und Impressums-Seiten überdecken dürfen.

Aufgabe 5: Stellen Sie Ihre Marketing Tools DSGO-konform ein.

Google Analytics

Um das Analyse-Tool Google Analytics datenschutzkonform einsetzen zu können, müssen folgende Punkte umgesetzt werden:

• Auftragsverarbeitungsvertrag und Zusatz zur Datenverarbeitung mit Google abschließen
• Maskierung der IP-Adresse („anonymizeIP“)
• Widerspruchsmöglichkeiten (Opt-out): Deaktivierungs-Add-On und Disabling Tracking  bieten. Google gibt dazu hier eine Hilfestellung.
• Entsprechende Hinweise in Ihrer Datenschutzerklärung
• Keine Aktivierung der User-ID

Facebook-Marketing

Verwenden Sie den Facebook Pixel ohne erweiterten Abgleich, müssen Sie darüber detailliert in der Datenschutzerklärung informieren und eine Opt-Out-Möglichkeit bieten. Nutzen Sie den Facebook Pixel mit “Custom Audiences”,  ist zusätzlich eine Einwilligung, ein Opt-In notwendig. Eine Anleitung für einen rechtssicheren Einsatz bietet der Rechtsanwalt Dr. Schwenke.

Newsletter

Nutzen Sie Email-Marketing? Dann müssen diese Prozesse angepasst werden. In den Anmeldeformularen darf nur die Email-Adresse als Pflichtfeld abgefragt werden. Unerlässlich ist das Double-Opt-In-Verfahren, mit dem der Empfänger nach der Anmeldung seine Email-Adresse und den Wunsch, in den Verteiler aufgenommen zu werden, bestätigt.

Informieren Sie direkt am Formular über Inhalt und Versendehäufigkeit Ihres Newsletters. Verlinken Sie direkt auf Ihre Datenschutzerklärung, in der Sie nochmals ausführlich über Ihren Email-Marketing-Prozess informieren.

Aufgabe 6: Erstellen Sie ein Verarbeitungsverzeichnis.

Die DSGVO verlangt von jedem Unternehmen den Nachweis des Datenschutzes. Kernstück ist das Verfahrensverzeichnis all Ihrer Verarbeitungstätigkeiten.
Führen Sie hier sämtliche Vorgänge Ihres Unternehmens auf, bei denen Sie personenbezogene Daten verarbeiten. Dazu gehören folgende Informationen:

• Name und Kontakt des Verantwortlichen
• Art und Zweck der Verarbeitung
• Betroffene Personengruppen und Datenkategorien
• Quelle der Daten
• Rechtsgrundlage für die Verarbeitung
• Interne und externe Empfänger der Daten (mögliche Auftragsverarbeiter)
• Vorgesehene Löschfristen der Daten (wenn möglich)
• Sicherheitskonzept

Muster für Verfahrensverzeichnisse:

GDD-Praxishilfe DS-GVO V: Verzeichnis von Verarbeitungstätigkeiten

Datenschutzverzeichnis mit Muster von Regina Stoiber

Muster der Activemind AG: Verzeichnis von Verarbeitungstätigkeiten nach DSGVO

Aufgabe 7: Schließen Sie Auftragsverarbeitungsverträge (AVVs) ab.

Kommt ein Drittanbieter bei der Verarbeitung von personenbezogenen Daten mit ins Spiel, benötigen Sie mit diesem Anbieter einen sogenannten Auftragsverarbeitungsvertrag (AVV) , der regelt, wie das Unternehmen die Daten in Ihrem Auftrag verarbeitet und schützt.
Beispiele für solche Auftragsverarbeiter sind: Hoster, Newsletter-Dienste, Google Analytics, Affiliate-Programme, Cloud-Dienste.

Eine Liste mit Links zu den AVVs diverser Drittabieter finden Sie bei Blogmojo: ADV-Verträge für Blogger & Online-Unternehmer.

Außerdem finden Sie hier dazu Muster:

Bayerisches Landesamt für Datenschutzaufsicht | Muster für einen Auftragsverarbeitungsvertrag

GDD: Mustervertrag zur Auftragsverarbeitung

Unterstützung bei der Analyse und Anpassung Ihrer Website

Dies war ein erster Überblick über die 7 wichtigen Maßnahmenblöcke, die Sie als Website-Betreiber umsetzen sollten. 

Wenn Sie das systematische Überprüfen Ihrer eigenen Website und die erforderlichen Maßnahmen lieber abgeben möchten, dann empfehlen wir Ihnen den DSGVO-Check von unserem Partner WP-Wartung24.