WordPress DSGVO-Service

Zuletzt aktualisiert am 22.08.2019

Am 25. Mai 2018 trat die neue Datenschutzgrundverordnung (DSGVO) in allen EU-Mitgliedstaaten in Kraft. Sie gilt nun also bereits seit mehr als einem Jahr. Dennoch sind viele Webseitenbetreiber weiterhin mit den zahlreichen neuen gesetzlichen Vorgaben überfordert. Auf der anderen Seite verhängen die Datenschutzbehörden inzwischen immer mehr und immer höhere Bußgelder. Sollten Sie sich die Frage bisher nicht gestellt haben, sollten Sie spätestens jetzt umgehend prüfen, ob Sie von der DSGVO betroffen sind, was dies für Sie bedeutet und welche Maßnahmen Sie konkret durchführen müssen. Diese und weitere Fragen beantworte ich in diesem Artikel vor allem für Betreiber von Webseiten, Blogs und Shops auf Basis von WordPress. Gerne unterstütze ich Sie auch bei der Umsetzung mit meinem WordPress DSGVO-Service.

Dieser Beitrag beschränkt sich also auf die wichtigsten Elemente der DSGVO in Bezug auf Ihre Website. Sie sollten aber beachten, dass die DSGVO weitaus mehr regelt und letztlich die gesamte Verarbeitung personenbezogener Daten in Ihrem Unternehmen betrifft - also auch offline.

Ich habe alle Informationen mit großer Sorgfalt recherchiert, kann aber keine Haftung für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen übernehmen. Es handelt sich um allgemeine Informationen und keine Rechtsberatung. Bei rechtlichen Fragen zu Ihrem Einzelfall empfehle ich Ihnen die Beratung durch einen auf dieses Gebiet spezialisierten Rechtsanwalt.

Was sollten Sie als Webseiten-Betreiber jetzt beachten, um nicht in die Abmahnfalle zu geraten?

Sie sollten sich zunächst mit der DSGVO auseinandersetzen und prüfen, ob Sie in irgendeiner Art Nutzerdaten erheben. Ist dies der Fall sollten Sie handeln und Ihre Website DSGVO-konform machen oder durch einen Dienstleister machen lassen. Es gibt allerdings keinen Grund zur Panik.

Warum jetzt zuerst die Webseite anpassen?

Die DSGVO betrifft zwar nicht nur Ihre Webseite, dennoch sollten Sie diese jetzt als erstes DSGVO-konform machen, da die Website der einfachste Angriffspunkt für Abmahnungen von Mitbewerbern oder Abmahnvereinen ist. Anders als interne Abläufe ist die Website öffentlich zugänglich und kann leicht automatisiert überprüft werden. Natürlich müssen Sie aber auch alle anderen Anforderungen erfüllen.

Sofern Ihre Webseite nicht ausschließlich privat ist und keine personenbezogenen Daten verarbeitet, müssen Sie eine Datenschutzerklärung haben. Da auch die IP-Adressen der Besucher Ihrer Webseite als personenbezogene Daten gelten, ist ein Datenschutzhinweis für fast alle Webseitenbetreiber notwendig. Dies ergibt sich schon daraus, dass auf eigentlich allen Servern bei allen Hosting-Anbietern die IP-Adressen automatisch erhoben werden und Sie dies als Kunde gar nicht wählen oder verhindern können. Es kommt dabei nicht einmal darauf an, ob Ihre Website geschäftlich oder kommerziell genutzt wird.

Was ist dabei zu beachten:

• Die Datenschutzerklärung muss klar und leicht verständlich formuliert sein.
• Die Datenschutzerklärung muss individuell für Ihre Website ausgestaltet sein.
  Achtung: Kopieren Sie daher nicht einfach eine Datenschutzerklärung von einer anderen Seite!
• Es muss darüber informiert werden, wer die Nutzerdaten zu welchem Zweck wie und wo verarbeitet. Es gehören also viele Angaben wie bspw. zur Verantwortlichen Stelle, dem Umgang mit Kontaktformularen, Newslettern, Social Media, Google Karten, etc. dazu.

Am sichersten ist es, wenn die Datenschutzerklärung bereits beim Aufruf Ihrer Webseite durch den Nutzer direkt erreichbar ist - also z.B. über einen Link im Hauptmenü verankert ist. Der Nutzer sollte nicht mehr als 2 Klicks benötigen, um zur Datenschutzerklärung zu gelangen.

Am sichersten ist die Erstellung einer Datenschutzerklärung durch einen Anwalt. Auf keinen Fall sollten Sie einfach eine fremde Datenschutzerklärung kopieren, da diese nicht für sie individualisiert ist und sie ggf. sogar rechtlich geschützt sein kann.

Die günstigste Variante für eine DSGVO-konforme Datenschutzerklärung ist die Nutzung eines Online-Generators. Diese Generatoren bieten zwar keine endgültige Rechtssicherheit, sind jedoch gegen das Setzen eines Links zurück zum Anbieter des Generators in der Regel kostenlos. Ein Beispiel für einen solchen Generator finden Sie hier.

Möchten Sie keinen solchen Link setzen und keine Werbung für den Online-Generator machen, können Sie eine Premium-Version des Generators ohne Werbung buchen. Alternativ dazu können Sie sich direkt an mich wenden. Ich erstelle Ihnen gerne auf Basis eines Premium-Generators eine werbefreie Datenschutzerklärung. Dies hat zudem den Vorteil, dass ich die technischen Fragen zu bestimmten Funktionen Ihrer Website direkt für Sie beantworten kann. Als Laie tut man sich hier häufig schwer.

Sollten Sie noch kein Impressum auf Ihrer Webseite haben, sollten Sie spätestens jetzt eines anlegen. Haben Sie bereits ein Impressum, nehmen Sie die DSGVO zum Anlass und überprüfen Sie Ihr Impressum auf Aktualität. In vielen Texten die ich täglich sehe, fehlen wichtige Pflichtangaben, die zu einer Abmahnung führen können. Das liegt zum Teil daran, dass das Impressum entweder nie richtig war oder Änderungen der letzten Monate und Jahre nicht nachvollzogen wurden.

Ein häufiger und teurer Fehler ist beispielsweise die Angabe zur "Streitbeilegung". Sagt Ihnen das Stichwort nichts, ist auf jeden Fall Handlungsbedarf gegeben.

Sofern auf Ihrer Webseite Cookies genutzt werden, ist ein Hinweis darauf anzuraten. Bei diesem Thema ist zur Zeit allerdings noch Vieles unklar. Die endgültige Entscheidung dazu, was hier notwendig ist, bringt auch nicht die DSGVO, sondern die zusätzliche "ePrivacy Verordnung", die voraussichtlich 2019 kommen wird.

UPDATE vom 29.07.2019

Seit dem EuGH Urteil vom 29.07.2019 ist klar, dass zwischen verschiedenen Arten von Cookies unterschieden werden muss. Besondere Aufmerksamkeit gilt dabei den sog. Tracking- und Werbe-Cookies. Für diese ist nun klar, dass eine echte Einwilligung des Nutzers dafür vorliegen muss. Ein reiner Hinweis in einem Cookie-Banner auf die Nutzung solcher Cookies ist danach nicht ausreichend. Ohne echte Einwilligung des Website-Besuchers dürfen keine entsprechenden Daten übertragen werden.

Auf Cookies, die genutzt werden, um die Funktionalität der Webseite gewährleisten zu können (z.B. für den Warenkorb) oder die Benutzererfahrung zu verbessern hat das Urteil voraussichtlich keinen Einfluss.

Mit der DSGVO gilt der Grundsatz der Datensparsamkeit. Nach der sog. "Privacy by Default"-Vorgabe muss Ihre Webseite datenschutzfreundlich "voreingestellt" sein. Wie schon bisher darf z.B. bei einem Kontaktformular die Anmeldung zum Newsletter nicht vorausgewählt sein. Auch müssen Sie bei der Abfrage von Daten z.B. in Kontaktformularen darauf achten, dass Sie nur die Daten erheben und verarbeiten, die für den bestimmten Verarbeitungszweck erforderlich sind.

Eine Einwilligung in die Datenerfassung ist nach der DSGVO erst ab 16 Jahren möglich. Bei jüngeren Personen nur mit Einwilligung eines Erziehungsberechtigten. Wie dies kontrolliert werden kann und wie eine Umsetzung dieser Vorgabe überhaupt möglich ist, ist aktuell noch unklar. Eine Regelung findet sich in der DSGVO dazu nicht.

Zunächst ist mit dem Anbieter des Analyse-Dienstes ein Vertrag zur Auftragsdatenverarbeitung abzuschließen. Darin muss sich der Anbieter - sehr vereinfacht gesagt - verpflichten ein angemessenes Schutzniveau zu gewährleisten. Google stellt einen entsprechenden Vertrag auf der eigenen Website zur Verfügung. Und auch in Ihrem Google-Konto finden Sie inzwischen einen Hinweis darauf.

Erst nach Abschluss eines solchen Vertrages darf mit der statistischen Erfassung begonnen werden. Dabei ist darauf zu achten, dass die Erfassung so erfolgt, dass die erfassten IP-Adressen automatisch gekürzt und damit anonymisiert werden. In keinem Fall dürfen sie vollständig erfasst werden. Google bietet diese Funktion grundsätzlich an. Falls Sie den Tracking-Code direkt von Google implementieren, achten Sie darauf, dass die Anonymisierung aktiviert ist. Falls Sie ein Plugin in WordPress nutzen, achten Sie darauf, dass Ihr Plugin diese Option besitzt und sie in den Einstellungen aktiviert wurde.

Desweiteren müssen Sie in Ihrer Datenschutzerklärung auf den Einsatz Ihrer Analysesoftware - also z.B. Google Analytics - hinweisen. Dabei ist darauf zu achten, dass im Text auch eine Möglichkeit zum Widerruf besteht. In der Regel wird dies technisch über ein sog. Opt-Out-Cookie erreicht.

UPDATE vom 29.07.2019

Allgemein gilt, dass Ihre Webseiten-Besucher dem Einsatz von Social-Media-Diensten wie Facebook oder Twitter zustimmen müssen. Problematisch an Social-Media-Plugins ist, dass sie zwangsläufig Nutzerdaten erheben und an das entsprechende soziale Netzwerk weitergeben - und zwar ohne, dass Ihr Webseiten-Besucher die jeweilige Funktion (z. B. ein Klick auf einen Like-Button) überhaupt benutzt haben muss. Die Social-Media-Dienste setzen in der Regel auch ein Cookie, so dass schon aus diesem Grund ein Cookie-Hinweis notwendig ist.

Zwar haben fast alle großen sozialen Netzwerke angekündigt, sich an die DSGVO halten zu wollen, doch sind ihre Plugins bis heute nicht DSGVO-konform nutzbar. Mit seinem Urteil vom 29.07.2019 hat der EuGH in Bezug auf den Facebook-Like-Button entschieden, dass die ungefragte Datenübertragung gegen Datenschutzrecht verstößt und den Website-Betreiber immer eine Mitverantwortung trifft. Auf andere soziale Netzwerke und ihre vergleichbaren Plugins dürfte das Urteil wohl entsprechend anzuwenden sein. Die Nutzung solcher Funktionen kann daher kostenpflichtig abgemahnt werden. Wer hier das Risiko einer Abmahnung vermeiden möchte und nicht auf derartige Funktionen verzichten möchte, kann alternative Plugins nutzen. Diese schalten sich zwischen die sozialen Netzwerke und Ihre Besucher. Ihre Besucher können dann trotzdem einen Like-Button nutzen aber die Weitergabe von Daten erfolgt erst bei der tatsächlichen Betätigung des Buttons und nicht schon vorher.

Unproblematisch nach aktuellem Stand sind auch einfache Verlinkungen zu sozialen Plattformen.

Verschaffen Sie sich zunächst einen Überblick über die in der Website genutzten Erweiterungen - die sog. Plugins - und löschen sie am besten zunächst alle Plugins, die gar nicht genutzt werden. Dies gilt insbesondere für Social-Media- und Analyse-Plugins.

Prüfen Sie in einem zweiten Schritt, welche Ihrer Plugins Daten sammeln und ggf. ins Ausland weiterleiten. Das ist häufig schwieriger als gedacht, da sehr viele Plugins Daten erheben, ohne dass Sie als Webseiten-Betreiber davon zwangsläufig erfahren. Im Zweifel bleibt Ihnen nichts anderes übrig als alle Hersteller der Plugins anzuschreiben oder sich auf deren Websites zu informieren.

Neben Plugins kann eine Datenerhebung auch durch einzelne Funktionen Ihrer Standard-WordPress-Webseite erfolgen. Dies kann z.B. die Möglichkeit zum Schreiben von Kommentaren sein. Schauen Sie sich Ihre Website und alle Funktionen genau an und fragen Sie sich, ob irgendwo "personenbezogene Daten" im Spiel sind. Ist dies der Fall, müssen Sie sich an die Vorgaben der DSGVO halten.

Mit dem Hostinganbieter, bei dem Ihre Webseite im Rechenzentrum liegt, müssen Sie eine Auftragsverarbeitungs-Vereinbarung treffen. Diese bekommen Sie in der Regel von Ihrem Anbieter unaufgefordert zugesendet (elektronisch oder per Post). Dies gilt zumindest dann, wenn Sie einen deutschen Anbieter haben. Meine Kunden haben diesen Vertrag bereits bekommen oder bekommen ihn in Kürze. Haben Sie von Ihrem Anbieter dazu noch nichts gehört, fragen Sie einmal nach.

Besonders aufpassen müssen Sie bei Anbietern, die Ihre Daten nicht in Deutschland oder der EU hosten. Das ist beispielsweise bei vielen amerikanische Unternehmen so. Aber auch wenn Sie Kunde bei einem deutschen Unternehmen sind, kann es sein, dass Ihr Hosting-Anbieter die Infrastruktur amerikanischer Cloud-Unternehmen wie Google oder Amazon nutzt. Achten Sie darauf, dass diese mindestens am sog. Privacy Shield-Abkommen teilnehmen und sich an die Vorgaben der DSGVO halten.