Seit der Einführung der DSGVO (Datenschutzgrundverordnung) am 25.5. 2018 verspüren viele Websitebetreiber ein „ungutes Gefühl“ wenn man Sie auf die Umsetzung derselben anspricht. Viele sind unsicher darüber, ob Ihre Websites denn nun den Anforderungen entsprechen und wie sie diese umsetzen können.
Niemand möchte sich dem Risiko von Abmahnungen und hoher Geldstrafen aussetzen. Und auch ein Jahr danach herrscht teilweise noch Uneinigkeit darüber, wie die Bestimmungen umgesetzt werden müssen.
Nichtsdestotrotz zeichnen sich schon gewisse „Best Practices“ ab, wie man PERSONENBEZOGENE Daten (Informationen, die einer bestimmten natürlichen Person zuordenbar sind) schützen sollte.
Als Webdesignerin habe ich mich natürlich umfassend mit dem Thema auseinandergesetzt und gebe Ihnen hier gerne eine Übersicht über die wichtigsten Punkte die meines Erachtens nach beachtet werden müssen und auch praxisnahe Tipps bei der technischen Umsetzung.
Ich bin mir natürlich bewusst, dass ich nicht die Erste bin, die sich mit diesem Thema auseinandersetzt und wahrscheinlich findet man auch in anderen Artikeln teilweise ähnliche Infos – aber hier findet sich quasi meine persönliche Checkliste an Dingen, die meiner Meinung nach mindestens beachtet werden müssen.
DISCLAIMER – ACHTUNG:
Dieser Artikel kann keine umfassende Rechtsberatung eines Juristen/einer Juristin ersetzen. Meine Empfehlungen beruhen auf meinem gesammelten Wissen und persönlichen Recherchen zum Thema – und auch nur was die DSGVO in Zusammenhang mit WordPress Websites betrifft. Bei manchen Punkten wird sich auch erst herausstellen ob die Erhebung von personenbezogenen Daten durch ein berechtigtes Interesse begründet werden kann oder nicht.
Hier biete ich nur meine aktuellen Empfehlungen und Tipps zur technischen Umsetzung in WordPress. Ich garantiere weder Vollständigkeit noch hundertprozentige Richtigkeit oder Aktualität und bitte Sie sich selber umfassend zu informieren und wenn nötig Rechtsbeistand einzuholen!
Inhaltsverzeichnis
Betrifft die DSGVO meine Website?
Da auch über die DSGVO und was das eigentlich ist und wen es betrifft schon so viel geschrieben wurde, hier nur ganz knapp umrissen: Wenn Sie eine Unternehmenswebsite und/oder einen Onlineshop haben oder ein Social Media Profil für Ihr Business betreiben ist die Antwort in fast jedem Fall JA.
Bei rein privaten Websites, die ausschließlich persönlichen oder familiären Zwecken dienen, kann dies etwas anders aussehen, jedoch ist auch hier Vorsicht geboten – die meisten Blogs sind keine rein privaten Websites. Im Zweifelsfall ist sicher besser auch hier die Bestimmungen der DSGVO zu erfüllen.
Die MUST HAVES für eine datenschutzkonforme Website
Datenschutzerklärung
Die Datenschutzerklärung ist die Basis. Hier müssen die Webseitenbesucher informiert werden, wie mit personenbezogenen Daten umgegangen wird und warum diese im Falle des Falles erhoben werden. Dazu gehört unter anderem:
- die verantwortlichen Betreiber der Website,
- Arten der verarbeiteten Daten, Zweck der Verarbeitung und Aufbewahrungsdauer
- Ihre Leistungen und die damit zusammenhängenden Verarbeitungen personenbezogener Daten
- wie mit personenbezogenen Daten im Rahmen der Kommunikation mit den Nutzern (z.B. Formulare) umgegangen wird
- welche Cookies gesetzt werden
- welche Social Media Dienste eingebunden sind
- ob und wie Daten an Drittanbieter weitergegeben werden (z.B. Kreditkartenanbindungen bei Onlineshops)
- Sicherheitsmaßnahmen
- die Rechte der Nutzer
- die Rechtsgrundlage der Verarbeitung
Wichtig ist, dass die Datenschutzerklärung von jeder Seite aus einfach erreicht werden können soll (am Besten im Footer neben dem Impressum angesiedelt) und nicht verdeckt werden darf (Achtung – auch nicht vom Cookie Banner!). In den Social Media Profilen sollte ebenso ein Link zur Datenschutzerklärung zu finden sein.
Es gibt zahlreiche Muster Datenschutzerklärungen zum Beispiel von der WKO oder auch Generatoren wie von Firmenwebseiten.at, eRecht24 oder von Dr. Schwenke. In jedem Fall sollte man sich aber auch hier im Klaren sein, dass die Datenschutzerklärung individuell auf das Unternehmen und die jeweilige Website abgestimmt/angepasst werden muss und wenn man 100%ig sicher sein will, lieber direkt einen Anwalt damit beauftragt.
Cookie Hinweis
Cookies sind kleinen Textdateien, welche auf dem Endgerät des Seitennutzers abgespeichert werden um zum Beispiel persönliche Seiteneinstellungen und Daten des Users zu speichern z.B. bevorzugte Sprache, einen gespeicherten Warenkorb, Logindaten aber auch IP-Adresse oder geografischen Standort usw.
Sie sind datenschutzrechtlich relevant, da sie über IP-Adressen der jeweiligen Person zuordenbar sein können. In der Datenschutzerklärung muss in jedem Fall ein Hinweis darüber stehen, welche Cookies gesetzt werden und wie man diese, falls gewünscht, über die Browsereinstellungen auch löschen kann.
Manche Cookies sind für das richtige Funktionieren der Website notwendig, andere werden aber aus statistischen Zwecken und vor allem für Marketingzwecke (z.B. für zielgruppengerechte Werbeeinblendungen) verwendet.
Analyse und Targeting Cookies
Hinsichtlich Targeting Cookies (Werbe-Cookies) und Analyse Cookies (z.B. mit Google Analytics) sind sich Experten noch uneinig ob zusätzlich vorab die Einwilligung des Users durch ein so genanntes Opt-in eingeholt werden muss. Manche sehen den Einsatz durch ein „berechtigtes Interesse“ auch ohne vorherige Einwilligung begründet, wer aber auf Nummer sicher gehen will, bittet die Nutzer schon jetzt über das Cookie Banner vorab um Einverständnis.
Natürlich muss einem aber bewusst sein, dass somit die Anzahl der User, die man tracken können wird, signifikant sinkt und die Basis für weitere Online Marketing Maßnahmen nicht mehr in der gleichen Qualität gegeben ist.
Spätestens beim Inkraft treten der E-Privacy-Verordnung wird es aber vermutlich sowieso notwendig.
Einen interessanten Beitrag zum Thema findet man auch bei der it-recht-kanzlei
Es gibt viele Plugins zur Umsetzung eines Cookie-Banners, eine Opt-in Lösung bietet das kostenpflichtige Borlabs Cookie* oder Pixel Mate. Eine freie Variante wäre Ginger – EU Cookie Law , Cookie Notice oder Google Analytics Germanized.
Nachtrag 29. Juli 2019:
Wie Dr. Schwenke auf seiner Website ausführt, ist es nun laut einem EuGH Urteil seiner Meinung nach Pflicht bei Verwendung von Tracking und Online Marketing Tools den Nutzer vor dem Setzen dieser mittels Opt-in einwilligen zu lassen.
Nachtrag 3. Oktober 2019:
Mittlerweile gibt es ein weiteres EuGH Urteil zum Thema Cookie Banner wonach man nun definitiv die Benutzer einer Website VOR dem Setzen von (nicht unbedingt erforderlichen) Cookies um eine ausdrückliche Einwilligung bitten muss. Analyse Cookies (z.B. von Google Analytics) gehören hier definitiv dazu.
Welche Cookies nun unbedingt erforderlich sind und somit keiner Einwilligung bedürfen ist nicht ganz leicht zu beantworten. Dr. Schwenke meint in seinem Blogartikel dazu, dass in jedem Fall Cookies zur Speicherung des Warenkorb eines Onlineshops, die Sprachauswahl auf einer internationalen Website oder eben auch Cookies, die für die Cookie Einwilligung erforderlich sind, dazu gehören.
Was sollte man bei der Einbindung eines Cookie Banners beachten?
- Der Cookie Hinweis darf wichtige rechtliche Informationen wie das Impressum und die Datenschutzseite nicht überdecken
- bei Analyse und Marketing Cookies ist eine ausdrückliche Einwilligung des Users (Opt-in) VOR dem Setzen der Cookies erforderlich
- auf ein Widerrufsrecht (Möglichkeit Cookie Einstellungen zu ändern) hinweisen (am besten im Footer und in der Datenschutzerklärung)
- die Website muss auch ohne der einwilligungspflichtigen Cookies benutzt werden können/dürfen
SSL Verschlüsselung
Die SSL Verschlüsselung ist zwar eigentlich keine DSGVO Pflicht, da aber ohne einer SSL-Verschlüsselung Daten nicht sicher übertragen werden, irgendwie wieder schon 😉 vor allem bei Onlineshops und bei Kontaktformularen (siehe nächster Punkt). Da heutzutage SSL Zertifikate bei den meisten Hosting Anbietern kostenlos angeboten werden und man natürlich seine Websitenutzer schützen sollte, macht es auf jeden Fall Sinn. Ach ja, und für Google ist es auch ein Ranking Faktor. Mehr dazu finden Sie in meinem Artikel SSL-Zertifikat: Was ist das und brauche ich das überhaupt
Kontaktformulare
Eine sichere Datenübertragung sollte wie gesagt unbedingt gewährleistet sein. Zusätzlich gilt bei Kontaktformularen in jedem Fall das Prinzip: nur die notwendigsten Infos abfragen. Und der Nutzer muss wissen warum er jede einzelne der Infos angeben sollte, wofür man diese braucht, ob sie an Dritte weiter gegeben werden und wie lange diese gespeichert werden.
Eine kurze Info diesbezüglich in der Nähe des Formulares mit Link auf die detaillierteren Infos in der Datenschutzerklärung macht also unbedingt Sinn.
Checkbox notwendig?
Ob die häufig zu sehende Checkbox (Einwilligungserklärung) unbedingt erforderlich ist, darüber scheiden sich die Geister. Viele Juristen wie zum Beispiel Stephan Hansen-Oest (www.datenschutz-guru.de) in seinem Podcast oder auch Dr. Schwenke in seinem Beitrag im Upload Magazin verneinen das. Bei normalen Kontaktformularen sei das also in den meisten Fällen nicht der Fall und könne sogar kontraproduktiv bzw. sogar riskant sein, da man damit verbundene Widerrufspflichten eingeht, die eventuell nicht so leicht zu erfüllen sind.
In manchen Fällen ist eine Einwilligung aber notwendig, womit wir schon beim nächsten Thema wären:
Newsletter mit Double Opt-in
Wer einen Newsletter anbietet, muss eine aktive Einwilligung des Nutzers durch eine Checkbox und eine Double Opt-in Bestätigung anbieten. Das heißt, dass der Nutzer erst durch Anklicken eines Links in einer Bestätigungsmail im Verteiler landet. Zusätzlich muss sich der Nutzer jederzeit über einen Link im Newsletter von diesem wieder abmelden können. Wie bei anderen Kontaktformularen auch, muss auch hier ein kurzer Hinweis über die Verwendung der Daten mit Link auf die Datenschutzerklärung (wo umfassender darüber informiert wird) vorhanden sein.
Google Dienste datenschutzkonform nutzen
- Google Maps
Möchte man auf Nummer Sicher gehen, sollte die Karte erst angezeigt werden, nachdem durch den Nutzer eingewilligt wurde z.B. per Klick und einer Nachladefunktion (Plugins wie Borlab Cookies bieten das an). Natürlich besteht auch die Möglichkeit eine einfache Verlinkung zu verwenden. - Google Fonts
Auch hier gilt: um ganz sicher zu gehen Google Fonts lokal einbinden. Falls man das nicht kann/will, dann zumindest einen Passus in der Datenschutzerklärung. - Google Analytics
IP Adresse anonymisieren, User ID deaktivieren, zumindest ein Opt-out anbieten, und Auftragsdatenverarbeitung mit Google abschließen, Datenspeicherung auf max. 14 Monate einstellen, Passus in Datenschutzerklärung
Unterstützung hierbei bietet zum Beispiel das kostenlose Plugin „Google Analytics Germanized“Eine Alternative wäre natürlich auch gar kein Analyse Tracking zu verwenden (also wenn man zum Beispiel die Daten aus Analytics sowieso nicht auswertet/nicht verwendet).
Wer gewisse Basis Analysedaten über seine Website haben möchte, der Aufwand mit Google Analytics aber zu groß erscheint, dem sei das datenschutzkonforme Plugin Statify empfohlen.
Facebook Pixel
Facebook Pixel ermöglicht es Facebook-Ads auf gewünschte Zielgruppen zuzuschneiden und deren Conversion zu messen. Grundsätzlich gilt Ähnliches wie für Google Analytics.
Je nachdem wie umfangreich Facebook Pixel genutzt wird (also mit so genannten „Erweiterten Abgleich“ oder nicht) muss zusätzlich zur Opt-out Möglichkeit ein Opt-in (ausdrückliche Erlaubnis des Users) erfolgen. In jedem Fall gehört die Verwendung vom Facebook Pixel in der Datenschutzerklärung erläutert. Weiter Infos hierzu findet man auch bei Dr. Schwenke.
Auch hier gibt es wieder diverse (kostenpflichtige) Plugins wie z.B. Pixel Mate oder Borlabs Cookie*, die die datenschutzkonforme Einbindung unterstützen.
Social Sharing datenschutzkonform
Die beliebten Share Buttons zum Teilen von Inhalten auf sozialen Netzwerken wie Facebook, Pinterest, Instagram usw. sind datenschutzrechtlich bedenklich. Meist werden schon beim Aufrufen der Website (also noch bevor man auf den jeweiligen Button klickt) Nutzerdaten an das jeweilige Netzwerk übertragen.
Abhilfe schafft ein Plugin wie „Shariff Wrapper“ welches ermöglicht, dass der Kontakt mit dem sozialen Netzwerk erst nach dem aktiven Klick des Nutzers hergestellt wird.
Die Verwendung des sehr beliebten „Like Button“ („Gefällt mir“-Button) von Facebook ist mittlerweile nicht mehr empfehlenswert, da hier Facebook noch umfassenderer Besucherdaten der Website erhebt und für Werbezwecke verwendet.
iFrames mit 2-Klick Lösung
Vor allem Videos aus Vimeo oder Youtube werden häufig über iFrames aus externen Websites eingebettet. Das Problem ist auch hier, dass der jeweilige Anbieter Informationen über den Nutzer erhält und Cookies gesetzt werden. Möchte man hier die sicherere Variante wählen, gibt es wieder zwei Möglichkeiten:
- Man kann komplett auf das Einbinden verzichten und einen einfachen Link oder hübschen Button mit Link auf das Video setzen.
- Die optisch schönere Variante ist aber die über Plugins eine 2-Klick-Lösung zu erreichen, durch die das Video erst nach Einverständnis des Users abgespielt wird.
Über YouTube Lyte wird nur ein Vorschaubild von Youtube Servern geladen, das Video selbst wird erst geladen, nachdem der user auf Play klickt. Falls man auch möchte, dass das Vorschaubild nicht extra geladen wird, kann in den Einstellungen zusätzlich festlegen, dass die Beitragsbilder auf dem eigenen Server gespeichert werden. Somit wird gar keine externe Verbindung zu Youtube aufgebaut. Unter den Videos lässt sich zusätzliche ein Datenschutz Hinweistext einblenden.
Auch über das kostenpflichtige Borlabs Cookie Plugin* gibt es die Möglichkeit Videos nachzuladen. Das Plugin bietet aber darüber hinaus noch viele weitere Funktionalitäten bzgl. Datenschutz.
Falls Sie den Page-Builder Elementor verwenden, gibt es hier ein eigenes Plugin „Extra Privacy for Elementor“ welches eine 2-Klick-Lösung für Videos integriert.
Gravatar / Emojis abdrehen
Die Verwendung von Gravataren (kleine Bilder zur Unterscheidung der unterschiedlichen Kommentare bei Beiträgen) kann sehr einfach in den WordPress Einstellungen (Einstellungen – Diskussion) abgeschaltet werden.
Emojis kann man über die functions.php oder wenn man nicht so versiert ist am Einfachsten mit einem Plugin wie Disable Emojis oder Autoptimize deaktivieren. Autoptimize ist eigentlich ein Plugin zur Verbesserung der Ladezeit und alleine deswegen schon empfehlenswert, bietet aber im Zuge dessen auch Funktionen, die für den Datenschutz nützlich sind, wie z.B. die Deaktivierung von Emojis oder auch Google Fonts (wobei dies nicht immer funktioniert).
Kommentarfunktion
Seit der WordPress 4.9.6 gibt es einige hauseigene Funktionen um uns hinsichtlich DSGVO Konformität zu unterstützen. So gibt es nun bei Kommentar Formularen eine Checkbox, um die Einwilligung zum Setzen von Cookies einzuholen. Willigt der Nutzer nicht ein, werden die Daten nicht gespeichert und auch kein Cookie gesetzt.
Möchten Sie Kommentare gar nicht erst verwenden, können Sie dies über die WordPress Einstellungen (Einstellungen – Diskussion) deaktivieren.
AV Verträge mit Drittanbietern
Mit Dienstleistern, die nicht direkt zum eigenen Unternehmen gehören, die aber über Ihre Website personenbezogene Daten sammeln und verarbeiten, müssen Auftragsdatenverarbeitungsverträge abgeschlossen werden. Zusätzlich müssen Sie in der Datenschutzerklärung aufgeführt werden. Drittanbieter aus nicht EU Ländern müssen im Privacy Shield registriert sein.
Häufige Beispiele für Drittanbieter:
- Provider Ihres Webhostings (speichern IP Adressen der Besucher in den Logfiles)
- Newsletter Marketing Dienste
- Zahlungsanbieter (Paypal etc.)
- Tracking Dienste
- Cloud Services (die z.B. für Backups genutzt werden)
Verarbeitungsverzeichnis
Alle Anbieter, Plugins und Unternehmen/Menschen, mit denen zusammengearbeitet wird und die auf personenbezogene Daten Zugriff haben könnten, müssen in einem Verarbeitungsverzeichnis angeführt werden. Zusätzlich müssen diese in einem eigenen Abschnitt in der Datenschutzerklärung angeführt werden. Infos und ein Muster dazu gibt es zum Beispiel auf der Website von Datenbeschützerin Regina Stoiber.
Impressum auf noindex
Erschweren Sie Abmahnvereinen ihre „Arbeit“ indem Sie das Impressum und Ihre Datenschutzerklärung auf „noindex“ setzen (lassen). Somit werden diese Seiten in den Suchmaschinen nicht indiziert und können zumindest automatisiert nicht einfach gefunden werden.
Lassen wir dir Kirche mal im Dorf?
Abschließend muss man natürlich sagen, dass die Umsetzung der DSGVO nach wie vor in großen Teilen Auslegungssache ist und es noch wenig verbindliche Aussagen dazu gibt. Wenn man bedenkt, dass viele der großen Unternehmen die Umsetzung offensichtlich auch nicht so eng sehen (viele bekannte Onlineshops setzen z.B. Google Analytics Cookies ohne vorherige Einwilligung der User) kann man annehmen, dass es bei Klagewellen nicht unbedingt zuerst das kleine Ein-Mann-Unternehmen von nebenan treffen wird.
Kleiner Fun-Fact am Rande: die Website des EugH Urteils zum Fall Fashion-ID und der Einbindung des Facebook Like Buttons ist unverschlüsselt! : )
Bei der Verwendung von gewissen Tools bleibt zwar nach wie vor immer ein gewisses Restrisiko, man muss aber auch abwägen, wie wahrscheinlich mögliche Folgen sind, und wie schlimm die wirtschaftlichen Folgen für Ihr Unternehmen bei einem Verzicht dieser Tools sind.
Nachtrag 4. Oktober 2019:
Hatte man bisher das Gefühl, dass Abmahnungen nur unseren großen Bruder Deutschland betreffen, hört man in den letzten Wochen auch in Österreich von Abmahnungen. Auch wenn diese (hoffentlich) Einzelfälle eines bestimmten Anwalts sein dürften und die Forderungen wohl überzogen waren, sollte man den Datenschutz nicht auf die leichte Schulter nehmen.
Nützliche Links mit weiteren INFOS bezüglich DSGVO
Diese Links haben mir selbst bei der Recherche und/oder Umsetzung von Datenschutzmaßnahmen geholfen:
Überblick zum Datenschutz in Österreich der WKO
Musterdokumente zum Datenschutz der WKO
Datenschutzanpassungsgesetz 2018
Verfahrensverzeichnis von Regina Stoiber
Blog von Rechtsanwalt Thomas Schwenke
Liste von WordPress Plugins im DSGVO Check von Blogmojo
DSGVO für Blogger und Websitebetreiber von Martina Honecker
Wie ist Ihre Erfahrung mit dem Thema Datenschutz auf Ihrer Website? Ich freue mich über Kommentare!
Sie brauchen Hilfe bei der Umsetzung von DSGVO Maßnahmen?
Gerne unterstütze ich Sie! Wir klären vorab welche Dinge notwendig/gewünscht sind und ich setze diese unkompliziert für Sie um.