• Zur Hauptnavigation springen
  • Skip to main content
  • Zur Fußzeile springen

XMouse

Websites für Ihren Erfolg

  • Start
  • Leistungen
    • Webdesign
    • Programmierung
    • Online-Marketing
    • Hosting und Domains
    • WordPress Homepage Training
    • WordPress DSGVO-Service
  • Über mich
  • Referenzen
  • FAQ
  • DSGVO
  • Kontakt

WordPress DSGVO-Service

Zuletzt aktualisiert am 22.08.2019

Am 25. Mai 2018 trat die neue Datenschutzgrundverordnung (DSGVO) in allen EU-Mitgliedstaaten in Kraft. Sie gilt nun also bereits seit mehr als einem Jahr. Dennoch sind viele Webseitenbetreiber weiterhin mit den zahlreichen neuen gesetzlichen Vorgaben überfordert. Auf der anderen Seite verhängen die Datenschutzbehörden inzwischen immer mehr und immer höhere Bußgelder. Sollten Sie sich die Frage bisher nicht gestellt haben, sollten Sie spätestens jetzt umgehend prüfen, ob Sie von der DSGVO betroffen sind, was dies für Sie bedeutet und welche Maßnahmen Sie konkret durchführen müssen. Diese und weitere Fragen beantworte ich in diesem Artikel vor allem für Betreiber von Webseiten, Blogs und Shops auf Basis von WordPress. Gerne unterstütze ich Sie auch bei der Umsetzung mit meinem WordPress DSGVO-Service.

Dieser Beitrag beschränkt sich also auf die wichtigsten Elemente der DSGVO in Bezug auf Ihre Website. Sie sollten aber beachten, dass die DSGVO weitaus mehr regelt und letztlich die gesamte Verarbeitung personenbezogener Daten in Ihrem Unternehmen betrifft - also auch offline.

Ich habe alle Informationen mit großer Sorgfalt recherchiert, kann aber keine Haftung für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen übernehmen. Es handelt sich um allgemeine Informationen und keine Rechtsberatung. Bei rechtlichen Fragen zu Ihrem Einzelfall empfehle ich Ihnen die Beratung durch einen auf dieses Gebiet spezialisierten Rechtsanwalt.

Inhaltsverzeichnis
Grundlegende Informationen zur DSGVO
Aktuelle Meldungen zur DSGVO
DSGVO für Webseitenbetreiber
Warum jetzt zuerst die Webseite anpassen?
Ihre Datenschutzerklärung und die DSGVO
Was ist mit meinem Impressum?
Brauche ich einen Cookie-Hinweis?
Welche Daten darf ich erfassen und verarbeiten?
Wessen Daten darf ich erfassen?
Was ist bei Google Analytics und anderen Analysediensten zu beachten?
Was ist bei Social-Media-Diensten zu beachten?
Was ist mit meinen WordPress-Plugins?
Was ist mit anderen Funktionen meiner WordPress-Webseite?
Was ist beim Hosting meiner Webseite zu beachten?
Was kann ich für Sie tun?
Kurzer Website-Check
Backup & Aktualisierung
Verschlüsselung über SSL
Technische Anpassung
Inhaltliche Anpassung
Benötigen Sie Hilfe?
Häufige Fragen zum WordPress DSGVO-Service

Grundlegende Informationen zur DSGVO

Wer hat das Gesetz erlassen?

Die Datenschutzgrundverordnung ist eine Verordnung der Europäischen Union, mit der die Verarbeitung personenbezogener Daten z.B. durch Unternehmen, Behörden oder Vereine innerhalb der Europäischen Union vereinheitlicht werden soll. In Deutschland ersetzt die DSGVO dann das bisher für diesen Schutz zuständige Bundesdatenschutzgesetz.

Im Original lautet die Bezeichnung "General Data Protection Regulation (GDPR)". Daher taucht dieser Begriff häufig im Zusammenhang auf bzw. hilft bei der Suche nach Informationen bei ausländischen Unternehmen.

Ab wann gilt die Datenschutzgrundverordnung?

Die DSGVO ist genau genommen bereits am 24. Mai 2016 in Kraft getreten. Die festgelegte zweijährige Übergangsfrist endete am 25. Mai 2018, so dass sie seit diesem Zeitpunkt unmittelbar in allen EU-Mitgliedstaaten gilt. Ab diesem Zeitpunkt müssen alle Vorgaben komplett umgesetzt werden. Ansonsten drohen Strafen.

Wen betrifft die DSGVO? Warum bin ich betroffen?

Die DSGVO betrifft jeden, der personenbezogene Daten verarbeitet. Sie gilt also nicht etwa nur für große Unternehmen, sondern auch für fast alle Webseiten-Betreiber und Blogger. Die Größe des Unternehmens spielt dabei keine Rolle. Die DSGVO trifft den Einzelunternehmer, Freelancer oder Selbständigen genauso wie mittelständische Unternehmen oder Großkonzerne.

Daten gelten dabei als personenbezogen, wenn mit ihrer Hilfe eine natürliche Person identifiziert werden kann. Neben eindeutigen Merkmalen wie Geburtsdatum, Namen oder Personalausweisnummer sind dies aber auch weitere Daten und Merkmale, die einer Person mit wenig Aufwand zugeordnet werden können.

Beispiele personenbezogener Daten:

  • Vor- und Nachname
  • Geburtsdatum
  • Alter
  • E-Mail-Adresse
  • Telefonnummer
  • Kfz-Kennzeichen
  • Bankverbindung
  • Foto
  • Zugangsdaten
  • IP-Adresse

Verarbeitet werden diese Daten immer dann, wenn sie erhoben, geordnet, gespeichert, verändert, verwendet, ausgelesen, abgefragt, transferiert, verknüpft, abgeglichen oder gelöscht werden.

Wer kontrolliert die Einhaltung der DSGVO?

In jedem Land gibt es unabhängige Aufsichtsbehörden, die die Umsetzung der DSGVO überwachen. In Deutschland sind dies die Datenschutzbehörden der einzelnen Bundesländer und die Bundesdatenschutzbeauftragte - aktuell Andrea Voßhoff. Die Aufsichtsbehörden können Informationen anfordern oder auch Ortsbesuche in den Geschäftsräumen machen. Zuständig ist bei Unternehmen immer die Aufsichtsbehörde, die für die Hauptniederlassung des Unternehmens zuständig ist.

Welche Strafen oder Sanktionen drohen, wenn ich nichts tue?

Die schlechte Nachricht vorweg: Verstöße gegen die DSGVO können abgemahnt werden und zwar anders als bisher mit hohen Bußgeldern. Je nach Schwere des Verstoßes kann ein Bußgeld von bis zu 20 Millionen Euro oder 4% des weltweiten Umsatzes des vorangegangenen Geschäftsjahres verhängt werden. Es soll dabei immer die Berechnung angewandt werden, die den höheren Bußgeld-Betrag zur Folge hat. Unter Umständen haften Verantwortliche dabei sogar mit ihrem Privatvermögen.

Das Risiko einer Strafe steigt dabei, da sowohl die Datenschutzbehörden ihr Personal aufgestockt haben als auch Wettbewerber und Verbraucherschutzverbände Verstöße geltend machen können. Problematisch ist dabei für Sie als Webseitenbetreiber, dass Sie nachweisen können müssen, dass ein Schaden gar nicht durch Sie entstanden sein kann. Es findet also eine Beweislastumkehr statt. Zusätzlich reicht dabei eine fahrlässige Verletzung der Pflichten der DSGVO aus.

Daneben können die Kontrolleure bei wenig gravierenden Verstößen eine Verwarnung aussprechen, die Beseitigung von Missständen verlangen oder die Berichtigung, Löschung oder angepasste Verarbeitung personenbezogener Daten fordern.

Dabei trifft es auch nicht nur die großen Konzerne wie Facebook oder Google. Allein im ersten Jahr seit dem Inkrafttreten der DSGVO sind in Deutschland 75 Bußgeldverfahren gegen Unternehmen bekannt geworden, die mit einem Bußgeld endeten. Dies ist allerdings nur ein kleiner Teil der tatsächlich durchgeführten Prüfverfahren. Dabei darf nicht vergessen werden, dass auch diese mit einem hohen Arbeits- und Zeitaufwand für die betroffenen Unternehmen verbunden sind.

Welche Probleme gibt es?

Trotz der langen Umsetzungsphase gibt es noch eine Menge Rechtsunsicherheiten. So sind sich bis heute viele Juristen nicht darüber einig, wie bestimmte Begriffe und Anforderungen zu deuten sind. Das betrifft z.B. die Frage was genau personenbezogene Daten überhaupt sind oder wann Sie personenbezogene Daten zur Wahrung berechtigter Interessen verarbeiten dürfen.

Wegen der vielen Unklarheiten ist damit zu rechnen, dass es zu einer Vielzahl von Streitfällen kommen wird und es viele Jahre dauert, bis der zuständige Europäische Gerichtshof (EuGH) die finale Entscheidung zu bestimmten Streitfragen treffen wird. Für Sie als Webseiten-Betreiber hat das zur Folge, dass Sie im schlimmsten Fall die Funktionen Ihrer Website später erneut anpassen müssen oder zumindest die Texte beispielsweise zum Datenschutz mehrfach anpassen müssen. Und bei jeder Änderung unterliegen Sie dem Risiko einer Abmahnung. Im Ergebnis sollten Sie sich also zu diesem Thema auf dem Laufenden halten.

Aktuelle Meldungen zur DSGVO

EuGH Urteil vom 29.07.2019 zu Tracking-Cookies und zum Facebook-Like-Button

In seinem Urteil vom 29.07.2019 (C-40/17) hat der EuGH entschieden, dass die Nutzung von Tracking-Cookies ohne eine echte Einwilligung des Nutzers nicht erlaubt ist und dass Webseitenbetreiber für den Facebook-Like-Button eine Mitverantwortung trifft. Zudem hat der EuGH dabei darauf hingewiesen, dass Verstöße dagegen abgemahnt werden können.

Für Cookies zu Tracking- oder Werbezwecken ist danach immer eine echte Einwilligung des Website-Besuchers notwendig. Ein reiner Hinweis auf die Cookie-Nutzung durch ein Banner reicht danach nicht aus. Vielmehr muss der Besucher über ein echtes Opt-In einwilligen. Vorher dürfen keine Daten übertragen werden.

Der EuGH hat dabei entschieden, dass die ungefragte Datenübertragung von Nutzerdaten durch den Facebook-Like-Button gegen Datenschutzrecht verstößt und dass jeden Websitebetreiber dabei immer eine Mitverantwortung trifft. Ein Facebook-Like-Button ohne Einwilligungsmöglichkeit des Nutzers kann daher nun kostenpflichtig abgemahnt werden.

Urteil des OLG Frankfurt vom 27.06.2019 zum sog. "Kopplungsverbot"

Seit Inkrafttreten der DSGVO gibt es das sog. "Kopplungsverbot" und es besteht für alle Werbetreibenden eine große Unsicherheit im Online-Marketing. Was ist das Kopplungsverbot? Einfach ausgedrückt bekommt ein Kunde im Austausch für seine Daten (z. B. die E-Mail-Adresse) einen Mehrwert in Form eines E-Books, der Teilnahme an einem Gewinnspiel oder einem Whitepaper und stimmt damit z. B. der Zusendung eines Newsletters zu. Das Angebot des Unternehmens ist nur durch die Eintragung der eigenen Daten möglich. Es ist daran also gekoppelt.

Durch den neuen Art. 7 DSGVO, in dem es um die Einwilligung zur Verarbeitung personenbezogener Daten geht, gingen viele Juristen von einem absoluten Kopplungsverbot aus.

Nach dem Urteil des OLG Frankfurt vom 27.06.2019 (Az.: 6 U 6/19) sieht es nun jedoch so aus, dass das Angebot Daten gegen Leistung weiterhin erlaubt und in Ordnung ist. Voraussetzung dafür ist allerdings eine freiwillige, klare und nachweisbare Einwilligung des Nutzers.

Keine Einigung auf ein Abmahnverbot oder eine Deckelung der Gebühren

CDU und SPD haben sich nicht auf ein vorrübergehendes Abmahnverbot oder eine generelle Deckelung der Abmahngebühren geeinigt. Grund der Gespräche dazu waren zahlreiche Abmahnungen nach dem Inkrafttreten der DSGVO. Einige Wettbewerber haben den Start der DSGVO ausgenutzt, um ihren Konkurrenten zu schaden und haben beispielsweise die fehlerhafte Einbindung von Google Analytics oder Google Fonts abgemahnt. Da es von Seiten der Koalition verpasst wurde, entsprechende Änderungen gegen den Mißbrauch von Abmahnungen in ein laufendes Gesetzgebungsverfahren einzubringen, ist jetzt völlig offen, ob und wann eine entsprechende Gesetzesänderungen kommen wird.

Neue Datenschutzfunktionen in WordPress

Die DSGVO macht auch vor dem beliebten Content-Management-System WordPress keinen halt. Mit den letzten Aktualisierungen des Systems wurden einige neue Funktionen für den datenschutzkonformen Betrieb der Website hinzugefügt.

Neu sind beispielsweise eine Funktion zur Einwilligung in die Datenspeicherung bei Kommentaren, eine global steuerbare Seite für die Datenschutzerklärung, eine Möglichkeit zur Löschung  personenbezogener Daten aus dem System oder auch eine Möglichkeit zum Export vorhandener Daten von Websitebesuchern für Auskunftsanfragen.

Fazit: Als Seitenbetreiber sollten Sie zunächst darauf achten, dass Sie die aktuellste Version von WordPress nutzen, damit Ihnen diese neuen Funktionen zur Verfügung stehen. Anschließend sollten Sie sich mit den entsprechenden Optionen auseinandersetzen, um Ihre Website auch tatsächlich datenschutzkonform zu betreiben.

DSGVO für Webseitenbetreiber

Was sollten Sie als Webseiten-Betreiber jetzt beachten, um nicht in die Abmahnfalle zu geraten?

Sie sollten sich zunächst mit der DSGVO auseinandersetzen und prüfen, ob Sie in irgendeiner Art Nutzerdaten erheben. Ist dies der Fall sollten Sie handeln und Ihre Website DSGVO-konform machen oder durch einen Dienstleister machen lassen. Es gibt allerdings keinen Grund zur Panik.

Warum jetzt zuerst die Webseite anpassen?

Die DSGVO betrifft zwar nicht nur Ihre Webseite, dennoch sollten Sie diese jetzt als erstes DSGVO-konform machen, da die Website der einfachste Angriffspunkt für Abmahnungen von Mitbewerbern oder Abmahnvereinen ist. Anders als interne Abläufe ist die Website öffentlich zugänglich und kann leicht automatisiert überprüft werden. Natürlich müssen Sie aber auch alle anderen Anforderungen erfüllen.

Ihre Datenschutzerklärung und die DSGVO

Brauche ich einen Datenschutzhinweis?

Sofern Ihre Webseite nicht ausschließlich privat ist und keine personenbezogenen Daten verarbeitet, müssen Sie eine Datenschutzerklärung haben. Da auch die IP-Adressen der Besucher Ihrer Webseite als personenbezogene Daten gelten, ist ein Datenschutzhinweis für fast alle Webseitenbetreiber notwendig. Dies ergibt sich schon daraus, dass auf eigentlich allen Servern bei allen Hosting-Anbietern die IP-Adressen automatisch erhoben werden und Sie dies als Kunde gar nicht wählen oder verhindern können. Es kommt dabei nicht einmal darauf an, ob Ihre Website geschäftlich oder kommerziell genutzt wird.

Was ist dabei zu beachten:

  • Die Datenschutzerklärung muss klar und leicht verständlich formuliert sein.
  • Die Datenschutzerklärung muss individuell für Ihre Website ausgestaltet sein.
    Achtung: Kopieren Sie daher nicht einfach eine Datenschutzerklärung von einer anderen Seite!
  • Es muss darüber informiert werden, wer die Nutzerdaten zu welchem Zweck wie und wo verarbeitet. Es gehören also viele Angaben wie bspw. zur Verantwortlichen Stelle, dem Umgang mit Kontaktformularen, Newslettern, Social Media, Google Karten, etc. dazu.

Wo muss die Datenschutzerklärung stehen?

Am sichersten ist es, wenn die Datenschutzerklärung bereits beim Aufruf Ihrer Webseite durch den Nutzer direkt erreichbar ist - also z.B. über einen Link im Hauptmenü verankert ist. Der Nutzer sollte nicht mehr als 2 Klicks benötigen, um zur Datenschutzerklärung zu gelangen.

Woher bekomme ich eine DSGVO-konforme Datenschutzerklärung?

Am sichersten ist die Erstellung einer Datenschutzerklärung durch einen Anwalt. Auf keinen Fall sollten Sie einfach eine fremde Datenschutzerklärung kopieren, da diese nicht für sie individualisiert ist und sie ggf. sogar rechtlich geschützt sein kann.

Die günstigste Variante für eine DSGVO-konforme Datenschutzerklärung ist die Nutzung eines Online-Generators. Diese Generatoren bieten zwar keine endgültige Rechtssicherheit, sind jedoch gegen das Setzen eines Links zurück zum Anbieter des Generators in der Regel kostenlos. Ein Beispiel für einen solchen Generator finden Sie hier.

Möchten Sie keinen solchen Link setzen und keine Werbung für den Online-Generator machen, können Sie eine Premium-Version des Generators ohne Werbung buchen. Alternativ dazu können Sie sich direkt an mich wenden. Ich erstelle Ihnen gerne auf Basis eines Premium-Generators eine werbefreie Datenschutzerklärung. Dies hat zudem den Vorteil, dass ich die technischen Fragen zu bestimmten Funktionen Ihrer Website direkt für Sie beantworten kann. Als Laie tut man sich hier häufig schwer.

Was ist mit meinem Impressum?

Sollten Sie noch kein Impressum auf Ihrer Webseite haben, sollten Sie spätestens jetzt eines anlegen. Haben Sie bereits ein Impressum, nehmen Sie die DSGVO zum Anlass und überprüfen Sie Ihr Impressum auf Aktualität. In vielen Texten die ich täglich sehe, fehlen wichtige Pflichtangaben, die zu einer Abmahnung führen können. Das liegt zum Teil daran, dass das Impressum entweder nie richtig war oder Änderungen der letzten Monate und Jahre nicht nachvollzogen wurden.

Ein häufiger und teurer Fehler ist beispielsweise die Angabe zur "Streitbeilegung". Sagt Ihnen das Stichwort nichts, ist auf jeden Fall Handlungsbedarf gegeben.

Brauche ich einen Cookie-Hinweis?

Sofern auf Ihrer Webseite Cookies genutzt werden, ist ein Hinweis darauf anzuraten. Bei diesem Thema ist zur Zeit allerdings noch Vieles unklar. Die endgültige Entscheidung dazu, was hier notwendig ist, bringt auch nicht die DSGVO, sondern die zusätzliche "ePrivacy Verordnung", die voraussichtlich 2019 kommen wird.

UPDATE vom 29.07.2019

Seit dem EuGH Urteil vom 29.07.2019 ist klar, dass zwischen verschiedenen Arten von Cookies unterschieden werden muss. Besondere Aufmerksamkeit gilt dabei den sog. Tracking- und Werbe-Cookies. Für diese ist nun klar, dass eine echte Einwilligung des Nutzers dafür vorliegen muss. Ein reiner Hinweis in einem Cookie-Banner auf die Nutzung solcher Cookies ist danach nicht ausreichend. Ohne echte Einwilligung des Website-Besuchers dürfen keine entsprechenden Daten übertragen werden.

Auf Cookies, die genutzt werden, um die Funktionalität der Webseite gewährleisten zu können (z.B. für den Warenkorb) oder die Benutzererfahrung zu verbessern hat das Urteil voraussichtlich keinen Einfluss.

Welche Daten darf ich erfassen und verarbeiten?

Mit der DSGVO gilt der Grundsatz der Datensparsamkeit. Nach der sog. "Privacy by Default"-Vorgabe muss Ihre Webseite datenschutzfreundlich "voreingestellt" sein. Wie schon bisher darf z.B. bei einem Kontaktformular die Anmeldung zum Newsletter nicht vorausgewählt sein. Auch müssen Sie bei der Abfrage von Daten z.B. in Kontaktformularen darauf achten, dass Sie nur die Daten erheben und verarbeiten, die für den bestimmten Verarbeitungszweck erforderlich sind.

Wessen Daten darf ich erfassen?

Eine Einwilligung in die Datenerfassung ist nach der DSGVO erst ab 16 Jahren möglich. Bei jüngeren Personen nur mit Einwilligung eines Erziehungsberechtigten. Wie dies kontrolliert werden kann und wie eine Umsetzung dieser Vorgabe überhaupt möglich ist, ist aktuell noch unklar. Eine Regelung findet sich in der DSGVO dazu nicht.

Was ist bei Google Analytics und anderen Analysediensten zu beachten?

Zunächst ist mit dem Anbieter des Analyse-Dienstes ein Vertrag zur Auftragsdatenverarbeitung abzuschließen. Darin muss sich der Anbieter - sehr vereinfacht gesagt - verpflichten ein angemessenes Schutzniveau zu gewährleisten. Google stellt einen entsprechenden Vertrag auf der eigenen Website zur Verfügung. Und auch in Ihrem Google-Konto finden Sie inzwischen einen Hinweis darauf.

Erst nach Abschluss eines solchen Vertrages darf mit der statistischen Erfassung begonnen werden. Dabei ist darauf zu achten, dass die Erfassung so erfolgt, dass die erfassten IP-Adressen automatisch gekürzt und damit anonymisiert werden. In keinem Fall dürfen sie vollständig erfasst werden. Google bietet diese Funktion grundsätzlich an. Falls Sie den Tracking-Code direkt von Google implementieren, achten Sie darauf, dass die Anonymisierung aktiviert ist. Falls Sie ein Plugin in WordPress nutzen, achten Sie darauf, dass Ihr Plugin diese Option besitzt und sie in den Einstellungen aktiviert wurde.

Desweiteren müssen Sie in Ihrer Datenschutzerklärung auf den Einsatz Ihrer Analysesoftware - also z.B. Google Analytics - hinweisen. Dabei ist darauf zu achten, dass im Text auch eine Möglichkeit zum Widerruf besteht. In der Regel wird dies technisch über ein sog. Opt-Out-Cookie erreicht.

Was ist bei Social-Media-Diensten zu beachten?

UPDATE vom 29.07.2019

Allgemein gilt, dass Ihre Webseiten-Besucher dem Einsatz von Social-Media-Diensten wie Facebook oder Twitter zustimmen müssen. Problematisch an Social-Media-Plugins ist, dass sie zwangsläufig Nutzerdaten erheben und an das entsprechende soziale Netzwerk weitergeben - und zwar ohne, dass Ihr Webseiten-Besucher die jeweilige Funktion (z. B. ein Klick auf einen Like-Button) überhaupt benutzt haben muss. Die Social-Media-Dienste setzen in der Regel auch ein Cookie, so dass schon aus diesem Grund ein Cookie-Hinweis notwendig ist.

Zwar haben fast alle großen sozialen Netzwerke angekündigt, sich an die DSGVO halten zu wollen, doch sind ihre Plugins bis heute nicht DSGVO-konform nutzbar. Mit seinem Urteil vom 29.07.2019 hat der EuGH in Bezug auf den Facebook-Like-Button entschieden, dass die ungefragte Datenübertragung gegen Datenschutzrecht verstößt und den Website-Betreiber immer eine Mitverantwortung trifft. Auf andere soziale Netzwerke und ihre vergleichbaren Plugins dürfte das Urteil wohl entsprechend anzuwenden sein. Die Nutzung solcher Funktionen kann daher kostenpflichtig abgemahnt werden. Wer hier das Risiko einer Abmahnung vermeiden möchte und nicht auf derartige Funktionen verzichten möchte, kann alternative Plugins nutzen. Diese schalten sich zwischen die sozialen Netzwerke und Ihre Besucher. Ihre Besucher können dann trotzdem einen Like-Button nutzen aber die Weitergabe von Daten erfolgt erst bei der tatsächlichen Betätigung des Buttons und nicht schon vorher.

Unproblematisch nach aktuellem Stand sind auch einfache Verlinkungen zu sozialen Plattformen.

Was ist mit meinen WordPress-Plugins?

Verschaffen Sie sich zunächst einen Überblick über die in der Website genutzten Erweiterungen - die sog. Plugins - und löschen sie am besten zunächst alle Plugins, die gar nicht genutzt werden. Dies gilt insbesondere für Social-Media- und Analyse-Plugins.

Prüfen Sie in einem zweiten Schritt, welche Ihrer Plugins Daten sammeln und ggf. ins Ausland weiterleiten. Das ist häufig schwieriger als gedacht, da sehr viele Plugins Daten erheben, ohne dass Sie als Webseiten-Betreiber davon zwangsläufig erfahren. Im Zweifel bleibt Ihnen nichts anderes übrig als alle Hersteller der Plugins anzuschreiben oder sich auf deren Websites zu informieren.

Was ist mit anderen Funktionen meiner WordPress-Webseite?

Neben Plugins kann eine Datenerhebung auch durch einzelne Funktionen Ihrer Standard-WordPress-Webseite erfolgen. Dies kann z.B. die Möglichkeit zum Schreiben von Kommentaren sein. Schauen Sie sich Ihre Website und alle Funktionen genau an und fragen Sie sich, ob irgendwo "personenbezogene Daten" im Spiel sind. Ist dies der Fall, müssen Sie sich an die Vorgaben der DSGVO halten.

Was ist beim Hosting meiner Webseite zu beachten?

Mit dem Hostinganbieter, bei dem Ihre Webseite im Rechenzentrum liegt, müssen Sie eine Auftragsverarbeitungs-Vereinbarung treffen. Diese bekommen Sie in der Regel von Ihrem Anbieter unaufgefordert zugesendet (elektronisch oder per Post). Dies gilt zumindest dann, wenn Sie einen deutschen Anbieter haben. Meine Kunden haben diesen Vertrag bereits bekommen oder bekommen ihn in Kürze. Haben Sie von Ihrem Anbieter dazu noch nichts gehört, fragen Sie einmal nach.

Besonders aufpassen müssen Sie bei Anbietern, die Ihre Daten nicht in Deutschland oder der EU hosten. Das ist beispielsweise bei vielen amerikanische Unternehmen so. Aber auch wenn Sie Kunde bei einem deutschen Unternehmen sind, kann es sein, dass Ihr Hosting-Anbieter die Infrastruktur amerikanischer Cloud-Unternehmen wie Google oder Amazon nutzt. Achten Sie darauf, dass diese mindestens am sog. Privacy Shield-Abkommen teilnehmen und sich an die Vorgaben der DSGVO halten.

Was kann ich für Sie tun?

  • Überprüfung Ihrer Website auf notwendigen Handlungsbedarf zur Anpassung an die DSGVO.
  • Erstellung eines Backups und Aktualisierung der Webseite vor der Durchführung von Änderungen zur Sicherstellung der Kompatibilität.
  • Verschlüsselung des Datenverkehrs zwischen Ihrer Website und Ihren Kunden über ein SSL-Zertifikat. 
  • check
    Technische Anpassung Ihrer Website an die Vorgaben der DSGVO.
  • check
    Inhaltliche Anpassung Ihrer Website an die DSGVO.

Kurzer Website-Check

Ich überprüfe Ihre Website in einem ersten Check auf das Theme, die verwendeten Plugins und vorgenommene Einstellungen. Anschließend bekommen Sie Hinweise und Handlungsempfehlungen zu den notwendigen Anpassungen. Der Check ist die Grundlage aller weiteren Maßnahmen.

Preis: 70,00 € netto (83,30 € brutto)

Backup & Aktualisierung

Erstellung einer Sicherung (Backup) von Ihrer Website im aktuellen Zustand und anschließende Aktualisierung Ihrer Website mit all ihren Komponenten - soweit wie möglich.

Preis: Ab 70,00 € netto (83,30 € brutto)

Der Preis ist abhängig vom Hostinganbieter und dem "Zustand" Ihrer Website. Nach dem Website-Check nennen wir Ihnen die genauen Kosten.

Verschlüsselung über SSL

Zur Verschlüsselung des Datenverkehrs zwischen Ihrer Website und deren Besuchern wird ein SSL-Zertifikat bestellt und installiert. Anschließend wird Ihre gesamte Website vom unsicheren "http" auf das sichere "https" umgestellt.

Allen XMouse-Hostingkunden stellen wir ein "Let´s Encrypt"-Zertifikat ohne monatliche Kosten zur Verfügung.

Preis: 280,00 € netto (333,20 €)

Technische Anpassung

Je nach eingesetzten Komponenten auf Ihrer Website sind sehr unterschiedliche Maßnahmen erforderlich, wie bspw. der Einbau eines Cookie-Hinweises, die Anpassung der Website-Statistik oder die Änderung der Social-Media-Dienste.

Preis: Ab 120,00 € netto (142,80 € brutto)

Der Preis ist abhängig von der Konfiguration Ihrer Website. Nach dem Website-Check nennen wir Ihnen die genauen Kosten.

Inhaltliche Anpassung

Neben der technischen Anpassung müssen in der Regel auch die Angaben im Impressum und der Datenschutzerklärung neu erstellt oder angepasst werden. Hierzu stelle ich Ihnen Musterverträge zur Verfügung, generiere Ihnen nach Ihren Vorgaben den Text für Ihre Datenschutzerklärung und biete Ihnen einen Updateservice für den wahrscheinlichen Fall von Änderungsbedarf bei diesen Texten in der Zukunft.

Preis erstmalige Erstellung:
Ab 70,00 € netto (83,30 € brutto) einmalig

Preis laufender Updateservice:
Ab 10,00 € netto (11,90 € brutto) pro Monat

Der Preis ist abhängig von der Komplexität der benötigten Anpassungen. Nach dem Website-Check nennen wir Ihnen die genauen Kosten.

Benötigen Sie Hilfe?

Melden Sie sich bei mir. Ich helfe Ihnen gerne schnell und unkompliziert bei der DSGVO-konformen Anpassung Ihrer WordPress-Website.

Jetzt Kontakt aufnehmen

Häufige Fragen zum WordPress DSGVO-Service

Sind ein Backup und eine Aktualisierung meiner Website wirklich notwendig?

Ja. Vor jeder umfangreicheren Anpassung Ihrer Website sollte grundsätzlich ein Backup erstellt werden, um bei Problemen schnell zum Ausgangszustand zurückkehren zu können. Gerade wenn Websites lange nicht aktualisiert wurden oder nicht standardkonform erstellt wurden, kommt es häufig zu Problemen. In wenigen Fällen gibt es überhaupt keine kompatiblen Updates für ein System mehr, weil der ursprüngliche Hersteller den Support für seine Komponente eingestellt hat. Um dann nicht neben den Anpassungen für die DSGVO noch zusätzlichen Stress zu bekommen, ist ein Backup unabdingbar.

Auch die Aktualisierung Ihrer Website mit all Ihren Komponenten ist empfehlenswert, da im Rahmen der Anpassungen für die DSGVO neue Komponenten installiert werden müssen und diese manchmal nicht mit alten Systemen kompatibel sind. Abgesehen davon macht die Aktualisierung Ihre Website sicherer. Gerade wenn Sie personenbezogene Daten auf Ihrer Website verarbeiten, ist dies eigentlich ein Muss. Aber auch sonst empfiehlt sich ein aktuelles System als Mindestmaß an Schutz vor dem Hacking Ihrer Website. Die Kosten für die Wiederherstellung Ihrer Website nach einem Hack liegen in der Regel nämlich deutlich über den Kosten für regelmäßige Aktualisierungen.

Was ist ein SSL-Zertifikat?

Ein SSL-Zertifikat ist vereinfacht gesagt eine Art digitaler Datensatz, der die Verbindung zwischen Ihren Website-Besuchern und Ihrer Website authentifiziert und verschlüsselt. Es dient also der Absicherung des Datenverkehrs zwischen Ihrer Website und Ihren Website-Besuchern. Im Ergebnis können damit Daten ausgetauscht werden, ohne dass diese von Dritten mitgelesen werden können. Das ist beispielsweise bei jeglicher Art von Kontakt-Formular, einem Login-Bereich oder natürlich Online-Shops mit Bezahlvorgängen sehr wichtig. In all diesen Fällen werden personenbezogene Daten über das Internet gesendet.

Was kostet ein SSL-Zertifikat?

SSL-Zertifikate werden von einigen wenigen Unternehmen angeboten. Diese prüfen bei der Beantragung unterschiedliche Faktoren beim beantragenden Unternehmen bzw. Selbständigen ab. Je mehr geprüft wird, desto vertrauenswürdiger sind die Zertifikate und desto teurer sind sie allerdings auch.

Die Kosten für den Zertifikatsanbieter liegen je nach Zertifikat einmalig zwischen 29,00 € und 99,00 € für die Zertifizierung und monatlich zwischen 5,00 € und 39,00 € für das Zertifikat. Fragen Sie bei Bedarf gerne nach den für Sie zur Verfügung stehenden Optionen. Insbesondere wenn Sie einen Online-Shop betreiben sollten Sie das richtige Zertifikat auswählen.

Eine Ausnahme bildet das SSL-Zertifikat von "Let´s Encrypt". Dieses Zertifikat wird kostenlos von der Internet Security Research Group (ISRG) zur Verfügung gestellt und ist für alle XMouse Hostingkunden verfügbar. Für einfache Websites ohne Shop ist dies häufig ausreichend.

Brauche ich ein SSL-Zertifikat, wenn ich keinen Shop und keine Formulare nutze?

Diese Frage ist rechtlich nicht ganz einfach zu beantworten, da eigentlich alle Webseiten auf Basis eines Redaktionssystems wie WordPress einen Login-Bereich haben. Streng genommen werden bei einem Redaktionssystem also immer personenbezogene Daten übermittelt.

Unabhängig davon empfehle ich Ihnen aber in jedem Fall die Nutzung eines SSL-Zertifikats, da es zusätzlich positiv für Ihre Rankings bei Google ist und sich alle großen Browser-Hersteller darauf verständigt haben, Webseiten ohne ein solches Zertifikat ab Mitte 2018 als "unsicher" zu kennzeichnen. Die Kennzeichnung findet direkt neben der Adresszeile im Browser statt und soll immer auffälliger werden. Damit Ihre Kunden und Besucher Ihre Website nicht für Spam halten, sollten Sie schon aus diesem Grund ein SSL-Zertifikat nutzen.

Was ist ein Cookie und brauche ich einen Hinweis dazu?

Cookies sind Daten, die eine Webseite auf dem Rechner des Besuchers speichert. Cookies können entweder zur Funktionsfähigkeit der Website beitragen (z. B. durch das Speichern der in den Warenkorb gelegten Artikel) oder auch zur Vereinfachung und Auswertung durch die Speicherung anderer personenbezogener Daten (z. B. eine vorgenommene Spracheinstellung oder ein eingegebener Name oder eine E-Mail-Adresse).

Diese Informationen können dann bei einem späteren Besuch auf der Website abgefragt werden, so dass die Besucher die Eingaben nicht erneut vornehmen müssen. Wichtig zu wissen ist, dass in Cookies grundsätzlich nur Daten gespeichert werden, die die Besucher selbst bereitgestellt haben.

Neben Ihrer Website speichern aber auch viele andere Komponenten Daten in Cookies. Dies kann z. B. ein Statistik-Tool wie Google-Analytics sein oder auch jedes andere Plugin auf Ihrer Website. Problematisch ist dies vor allem dann, wenn diese Daten nicht anonymisiert werden und zur weiteren Auswertung ins Ausland übermittelt werden.

Im Ergebnis ist es so, dass die meisten Websites irgendwelche Daten in Cookies speichern. Wie ein Hinweis auf diese Speicherung genau zu erfolgen hat, ist aktuell noch unklar. Hier gehen die Meinungen der Experten weit auseinander. Weitere Klärung wird hier nicht etwa die DSGVO selbst, sondern die sog. ePrivacy Verordnung bringen, die ebenfalls noch in 2018 in Kraft treten soll.

Bis dahin lautet meine Empfehlung: Nutzen Sie schon jetzt einen Cookie-Hinweis auf Ihrer Website und zwar einen, der sich bei Bedarf bei einer Verschärfung der gesetzlichen Lage in den kommenden Monaten leicht anpassen lässt.

Welche Komponenten meiner Website sind problematisch in Bezug auf den Datenschutz?

Diese Frage ist abschließend leider nicht zu beantworten, da Webseiten zu verschieden sind und zu unterschiedliche Komponenten nutzen.

Folgende Funktionalitäten sind in der Regel problematisch:

  • Kommentarmöglichkeiten für Besucher
  • Kontakt- oder Bestellformulare
  • Social-Media-Plugins
  • WooCommerce-Online-Shop
  • YouTube-Videos
  • Newsletter-Bestellungen
  • Anti-Spam-Erweiterungen
  • Analyse-Software
  • ...

Sollten Sie eine dieser Funktionalitäten auf Ihrer Website nutzen, besteht vermutlich Handlungsbedarf in Bezug auf die DSGVO.

Kontaktieren Sie mich

XMouse GmbH
Daniel Kolks
Stau 123
26122 Oldenburg
Tel.: +49 30 57703923-0
Fax: +49 30 57703923-9
Mail: info@xmouse.de

DSGVO-Check

Ist Ihre Website fit für die DSGVO? Falls nicht, sollten Sie handeln und Ihre Website jetzt anpassen. Gerne bin ich Ihnen dabei behilflich.
Mehr erfahren

Starten Sie jetzt

Füllen Sie meinen Fragebogen aus und lassen Sie uns über Ihr Projekt reden – unverbindlich und für Sie kostenfrei.
Zum Fragebogen

© Internetagentur XMouse · Impressum · AGB · Datenschutz · Nach oben