DSGVO Kurzanleitung für die Umsetzung auf WordPress

Wichtiges UPDATE vom 15.11.2019:
Viele Datenschutzbehörden warnen vor dem Einsatz von Tracking-Anbietern, ohne die Zustimmung der Nutzer vorher einzuholen. „Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen“, so der Bundesdatenschutzbeauftragte Ulrich Kelber am vergangenen Donnerstag bei einer Pressemitteilung vom BfdI. Weiterhin sagte er: „Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein.“

Wenn ihr keine Zeit dafür habt, die entsprechenden Maßnahmen eigenständig durchzuführen:
macbay entlastet euch mit dem DSGVO-Paket und 44% Rabatt


Hallo, wie in unserem Webinar versprochen, bekommt ihr hiermit eine Kurzanleitung zur Umsetzung der DSGVO-Anforderungen auf eurer WordPress-Webseite.

Zunächst erhaltet ihr hier eine allgemeine Checkliste für eine rechtssichere Webseite (von unserem Partner easyRechtssicher*) mit Aspekten und Tipps für rechtssichere Webseiten.

Als Nächstes fassen wir für euch unsere momentan empfohlene Vorgehensweise zur Analyse und Umsetzung der DSGVO auf einer Webseite zusammen, ohne Anspruch auf Vollständigkeit oder Rechtsgültigkeit. Dafür ändert sich momentan zu häufig etwas. Nach dieser Vorgehensweise haben wir seit 2017 bereits auf über 60 Webseiten entsprechende Maßnahmen umgesetzt. Dabei beurteilen und handeln wir nach besten Wissen, Erfahrungen, sowie unter Zuhilfenahme von Juristen sowie zertifizierten Datenschutzbeauftragten.

Zum Thema “DSGVO Umsetzung auf WordPress” gehen wir hier nur auf WordPress-Webseiten ein. Abgesehen davon, dass auf anderen Webseiten-Systemen ähnliche Verfahren zu empfehlen sind, solltet ihr noch weitere Aspekte im Blick haben, die nicht Webseiten-relevant sind, beispielsweise die Anforderungen bezüglich eines Verfahrensverzeichnisses, etwaige Auftragsdatenverarbeitungsverträge mit externen Dienstleistern oder auch eines Datenschutz-Management-Systems.

Übrigens: Auch die Betreiber von privaten Webseiten müssen ihren Besuchenden den Schutz der Privatsphäre zugestehen und sind daher ebenfalls in Teilen von der DSGVO betroffen. Beziehungsweise, wie die Kollegen von GIGA es treffend formuliert haben: “Auch wenn eine Homepage nur ein paar Texte und harmlose Katzenbilder enthält, werden durch sie eventuell Daten gespeichert und Cookies gesetzt. Über beides müssen auch Betreiber einer privaten Webseite laut DSGVO ihre Besucher informieren. Das geschieht in der Regel über Cookie-Hinweise und die in letzter Zeit oft zitierte Datenschutzerklärung.”

Die folgenden Maßnahmen dienen aus unserer Sicht als eine Art “First Line of Defense” und helfen, den Behörden oder Mitbewerbern keine augenscheinlichen Verstöße aufzuzeigen. Und das wiederum kann euch dabei helfen, teure Bußgelder vorzubeugen.

Analyse und Maßnahmen

FRAGEN

  • Übergibt meine Webseite Besucher-Daten an Dritte?
  • Werden durch Dritt-Anbieter Cookies für Werbe- oder Tracking-Zwecke auf meiner Seite eingesetzt?
  • Welche Anbieter sind dies und habe ich mit denen schriftliche Auftragsdatenverarbeitungsverträge abgeschlossen?
  • Werden die von meinen Besuchern hinterlassenen Daten über verschlüsselte Transport-Wege übermittelt (SSL)?
  • Werden meine Besucher vollumfänglich informiert?
  • Können meine Besucher unkompliziert persönliche aufgezeichnete Daten anzeigen und löschen lassen?
  • Benötige ich einen eigenen Datenschutzbeauftragten? Antwort: erst ab 10 Mitarbeiter, muss in der Datenschutzerklärung genannt werden

ANALYSE

  • Prüfe, ob ein SSL-Zertifikat auf der Domain eingerichtet und aktiv ist durch Aufruf der Seite mit “https://” vor dem Domain-Namen
  • Prüfe Tracker und Cookies über die Browser-Network-Tools oder über das kostenlose Webkoll
    • hierüber bekommt ihr u.a. sehr umfangreich und genau angezeigt, welche zustimmungspflichtigen Elemente auf eurer Seite im Einsatz sind
    • Alternativ bzw. ergänzend eigenen sich auch Browser Extensions wie Ghostery, Privacy Badger oder Disconnect, um Drittanbieter zu identifizieren
    • Hier ein kleiner Hilfs-Artikel über Tracking vs. Analytics – Was ist der Unterschied? (von datenschutzbeauftragter-info.de)
  • Prüfe die Privatsphäre-Einstellungen im WordPress-Dashboard über deinedomain.de/wp-admin/privacy.php
  • Prüfe die Rechtstexte
    • Impressum und Datenschutzerklärung sind das mindeste, was eure Webseite benötigt
      • Sollte auch auf der WP-Login-Page angezeigt werden, z.B. durch Einbindung über die functions.php im Child-Theme / Alternativ zum CHile-Theme: “Code Snippets” Plugin
    • Anbieter von digitalen Infoprodukten, Kursanbieter oder Webshops benötigen zusätzliche Allgemeine Geschäftsbedingungen und Widerrufsrechtserklärungen
  • Prüfe die Security Header z.B. über Webkoll oder securityheaders.com (sollte mindestens ein “C” haben)
  • Prüfe, ob deine E-Mails oder Newsletter-Nachrichten im HTML-Format versendet werden und Web-Fonts verwenden

UMSETZUNG

  • SSL-Zertifikat sollte beim Hosting-Anbieter bestellt und installiert werden
    • bei macbay v3 werden auf allen Domains die SSL-Zertifikate kostenlos und vollautomatisch bestellt, installiert und regelmäßig erneuert
    • HTTPS sollte vor allem auf den Seiten mit Kontaktformularen, Newsletter, Download- oder Check-Out-Funktionen aktiv sein
  • Wenn Cookies und Besucher-Tracker zu mehr als technische Zwecke eingesetzt werden, sollte ein Cookie-Banner mit Einwilligungs-Checkbox der Seite vorgeschaltet (ab hier: CB) und in der Datenschutzerklärung erwähnt werden (ab hier: DSE)
  • Bestehen Drittanfragen? Dann: CB  & DSE
    • Hier einige häufige Beispiele von Drittanfragen:
    • Werbetracker, z.B. beim Einsatz von Google Adsense, Affiliate-Marketing-Banner oder -Pixel
    • Mailchimp, CleverReach, klickTipp, ActiveCampaign, GetResponse oder andere E-Mail-Marketing, Newsletter- und Mailinglisten-Tools
    • Google Maps oder die Server von OpenStreetMap  (OSM) > CB & DSE
    • Google reCAPTCHA (im Webinar wurde gesagt, ab Version 3 kein CB und DSE nötig, sind uns aber nicht mehr ganz sicher, also lieber mit aufnehmen!)
    • und natürlich Google Analytics, Matomo (auch wenn es self-hosted ist) oder auch der Facebook Pixel, und was über die Prüfung sonst noch zu erkennen ist
  • Cookie Banner mit Einwilligung über Plugin lösen (z.B. das beliebte Borlabs Cookie*, Pixelmate oder WP DSGVO)
    • Borlabs hat eine umfangreiche Dokumentation und leicht verständliche YouTube-Videos, die bei der Umsetzung helfen
    • Räume deinen Besuchern die Möglichkeit ein, die Einwilligung nachträglich zu widerrufen. Borlabs stellt hierfür einen entsprechenden Short-Code zur Einbindung in der DSE zur Verfügung
  • Auftragsdatenverarbeitungsverträge mit Drittanbietern abschliessen
    • Hosting-Provider / falls ihr eure Webseite bei macbay betreibt: hier der benötigte AVV
    • E-Mail-Anbieter / Google Mail, iCloud, web.de und andere, über die ihr eure geschäftlichen Mails laufen lasst
    • Marketing-Tool-Anbieter / Google Analytics, Facebook/Instagram, MailChimp, Newsletter2Go
    • Achtung! Drittanbieter aus den USA sind nur zulässig, wenn sie im Privacy Shield registriert sind (ein Abkommen zwischen EU & USA)
    • Freelancer und andere Dienstleister, die zumindest potentiell in Kontakt mit euren Kundendaten kommen könnten
  • Google Fonts oder Adobe Fonts – Viele WP-Themes nutzen solche Schriftarten und stellen automatische Verbindungen zu Servern der Font-Anbieter her. Die Fonts sollten daher besser auf den eigenen Webspace hochgeladen und im Theme eingebunden werden. Hierfür sollten nach dem Font-Upload über ein sogenanntes Child-Theme entsprechende Modifikationen durchgeführt werden in der functions.php und style.css. Eine gute Anleitung hierzu findet ihr unter Webfonts lokal in WordPress nutzen (Anleitung vom webtimizer-Blog)
    • Solltest du in deinem E-Mail-Marketing oder bei deinen sonstigen E-Mails per HTML-formatierte Nachrichten nutzen, achte darauf, dass dort eventuell verwendete Web-Fonts bzw. Google-Fonts ebenfalls vom eigenen Server geladen werden
  • Zustimmungen der Besucher einholen für eingebettete Videos von Youtube oder Bilder von Instagram (kann u.a. über das Borlabs Cookie* Plugin und den darin enthaltenen Content-Blocker gelöst werden)
  • Unter allen Formularen auf die DSE hinweisen
  • Unter allen Formularen Zustimmungs-Kästchen / Consent Checkboxes einfügen, mit denen die Besucher erklären, dass sie die DSE gelesen und verstanden haben. Es ist momentan zwar juristisch umstritten, ob das nötig ist. Wir setzen die Chckbox dennoch ein, weil einige Datenschutzbehörden das Fehlen dieser möglicherweise für einen Datenschutz-Verstoß halten.
  • Kontakt- und Kommentar-Formulare brauchen kein Double-Opt-in, Newsletter-Formulare hingegen brauchen das
  • Hinweis zu Plugins: Einige lassen sich nicht DSGVO-konform einsetzen und auch nicht vom Borlabs Cookie in den Einwilligungs-Prozess einarbeiten. Wenn nicht genau erkennbar ist, welches Plugin trotz Cookie-Banner immer noch z.B. die Google-Fonts-Server, ein CDN, jquery oder andere externe Seiten aufruft, einfach alle Plugins deaktivieren, eins der Reihe nach re-aktivieren und jedes Mal testen. Damit wird deutlich, welches Plugin die Drittanbieter-Verbindung über Non-WP-Standard-Maßnahmen erzwingt, was alleine schon ein Grund ist, es zu löschen. Wir helfen gerne dabei, passende Alternativen zu finden
  • Über die Privatsphäre-Einstellungen in WordPress gibt es die Möglichkeit, den Kunden, die sich über eure WP-Site registriert oder Kommentare hinterlassen haben, die auf der Webseite gespeicherten Daten eigenständig abrufen und löschen zu lassen. Ihr findet diese Einstellungen im Dashboard unter Einstellungen > Datenschutz bzw. über deinedomain.de/wp-admin/privacy.php
  • In WordPress können in den Kommentar-Feldern sogenannte Gravatare und Emojis zum Einsatz kommen, was eine Verbindung im Frontend zu den Servern vom wp.com herstellt. Das kostenlose Plugin „LiteSpeed Cache“ enthält einige Einstellungen, um Emojis zu unterbinden. Gravatare können im Dashboard unter Einstellungen > Diskussionen deaktiviert werden
  • Platziert eure Datenschutzerklärung & Impressum so, dass sie von überall mit maximal einem Klick angezeigt werden
    • Es ist möglich, die Hinweise zum Datenschutz und das Impressum auf derselben Seite zu platzieren, sofern der Link zu dieser eindeutig gekennzeichnet ist – z.B. mit der Formulierung „Impressum & Datenschutz“
    • Achtet darauf, dass die Datenschutzerklärung und Impressum auf der Login-Seite angezeigt wird
  • Security Header prüfen (entweder über Webkoll oder securityheaders.com) / Was mindestens “grün” sein sollte:
    • Strict-Transport-Security, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Feature-Policy (Content-Security-Policy umzusetzen ist sehr aufwendig, wird dafür voraussichtlich erst in einigen Monaten Pflicht) = mindestens “C”
    • Umsetzung über den Einsatz entsprechender Direktive in der .htaccess Datei im Webseiten-Basisverzeichnis
      • z.B. über FTP > htaccess zu finden als unsichtbare Datei mit einem Punkt davor
  • Prüft eure Datenschutzerklärung und Impressum auf Vollständigkeit und Richtigkeit. Alternative:

Lasst euer Impressum und Datenschutzerklärung kostenlos von macbay prüfen