DSGVO Kurzanleitung für die Umsetzung auf WordPress

Dieser Artikel wird laufend aktualisiert. Aktueller Stand vom 28.03.2020

Einleitung

Im Vordergrund steht das durch die DSGVO verbriefte Recht auf Privatsphäre deiner Webseiten-Besucher. Dies gilt es zu schützen, indem du ihr Surfverhalten nicht automatisch an Drittanbieter meldest, also tracken lässt, sondern ihnen die Möglichkeit gibst, dem Tracking zu widersprechen. Daneben brauchst du ein DSGVO-konformes Impressum und eine Datenschutzerklärung.

Wir gehen hier vorrangig auf die Anforderungen von WordPress-Webseiten ein. Auf anderen Webseiten-Systemen (CMS) sind jedoch ähnliche Verfahren zu empfehlen. Daneben solltet ihr weitere Aspekte im Blick haben, beispielsweise die Anforderungen bezüglich eines Verfahrensverzeichnisses, Auftragsdatenverarbeitungsverträge mit externen Dienstleistern oder auch eines Datenschutz-Management-Systems.

Übrigens: Auch die Betreiber von privaten Webseiten müssen ihren Besuchenden den Schutz der Privatsphäre zugestehen und sind daher ebenfalls in Teilen von der DSGVO betroffen. Beziehungsweise, wie die Kollegen von GIGA es treffend formuliert haben: „Auch wenn eine Homepage nur ein paar Texte und harmlose Katzenbilder enthält, werden durch sie eventuell Daten gespeichert und Cookies gesetzt. Über beides müssen auch Betreiber einer privaten Webseite laut DSGVO ihre Besucher informieren. Das geschieht in der Regel über Cookie-Hinweise und die in letzter Zeit oft zitierte Datenschutzerklärung.“

Die folgenden Maßnahmen dienen aus unserer Sicht der „First Line of Defense„, also einer ersten Abwehr von Bußgeldern.

Analyse und Maßnahmen

FRAGEN zur Vorbereitung der Analyse

  • Übergibt meine Webseite Besucher-Daten an Dritte?
  • Werden durch Dritt-Anbieter Cookies für Werbe- oder Tracking-Zwecke auf meiner Seite eingesetzt?
  • Welche Anbieter sind dies und habe ich mit denen schriftliche Auftragsdatenverarbeitungsverträge (AVV) abgeschlossen?
  • Werden die von meinen Besuchern hinterlassenen Daten über verschlüsselte Transport-Wege übermittelt (SSL)?
  • Werden meine Besucher vollumfänglich informiert (DSE)?
  • Können meine Besucher unkompliziert persönliche aufgezeichnete Daten anzeigen und löschen lassen?
  • Benötige ich einen eigenen Datenschutzbeauftragten? Antwort: erst ab 10 Mitarbeiter

ANALYSE

  • Prüfe, ob ein SSL-Zertifikat auf der Domain eingerichtet und aktiv ist durch Aufruf der Seite mit „https://“ vor dem Domain-Namen
  • Prüfe Tracker und Cookies über die Browser-Network-Tools oder über das kostenlose Webkoll
    • hierüber bekommt ihr u.a. sehr umfangreich und genau angezeigt, welche zustimmungspflichtigen Elemente auf eurer Seite im Einsatz sind
    • Alternativ bzw. ergänzend eigenen sich auch Browser Extensions wie Ghostery, Privacy Badger oder Disconnect, um Drittanbieter zu identifizieren
    • Hier ein kleiner Hilfs-Artikel über Tracking vs. Analytics – Was ist der Unterschied? (von datenschutzbeauftragter-info.de)
  • Prüfe die Privatsphäre-Einstellungen im WordPress-Dashboard über deinedomain.de/wp-admin/privacy.php
  • Prüfe die Rechtstexte
    • Impressum und Datenschutzerklärung sind das mindeste, was eure Webseite benötigt
      • Sollte auch auf der WP-Login-Page angezeigt werden, z.B. durch Einbindung über die functions.php im Child-Theme / Alternativ zum CHile-Theme: „Code Snippets“ Plugin
    • Anbieter von digitalen Infoprodukten, Kursanbieter oder Webshops benötigen zusätzliche Allgemeine Geschäftsbedingungen und Widerrufsrechtserklärungen
  • Prüfe die Security Header z.B. über Webkoll oder securityheaders.com (sollte mindestens ein „C“ haben)
  • Prüfe, ob deine E-Mails oder Newsletter-Nachrichten im HTML-Format versendet werden und Web-Fonts verwenden

UMSETZUNG

  • SSL-Zertifikat sollte beim Hosting-Anbieter bestellt und installiert werden
    • bei macbay v3 werden auf allen Domains die SSL-Zertifikate kostenlos und vollautomatisch bestellt, installiert und regelmäßig erneuert
    • HTTPS sollte vor allem auf den Seiten mit Kontaktformularen, Newsletter, Download- oder Check-Out-Funktionen aktiv sein
  • Wenn Cookies und Besucher-Tracker zu mehr als technische Zwecke eingesetzt werden, sollte ein Cookie-Banner mit Einwilligungs-Checkbox der Seite vorgeschaltet (ab hier: CB) und in der Datenschutzerklärung erwähnt werden (ab hier: DSE)
  • Bestehen Drittanfragen? Dann: CB  & DSE
    • Hier einige häufige Beispiele von Drittanfragen:
    • Werbetracker, z.B. beim Einsatz von Google Adsense, Affiliate-Marketing-Banner oder -Pixel
    • Mailchimp, CleverReach, klickTipp, ActiveCampaign, GetResponse oder andere E-Mail-Marketing, Newsletter- und Mailinglisten-Tools
    • Google Maps oder die Server von OpenStreetMap  (OSM) > CB & DSE
    • Google reCAPTCHA (im Webinar wurde gesagt, ab Version 3 kein CB und DSE nötig, sind uns aber nicht mehr ganz sicher, also lieber mit aufnehmen!)
    • und natürlich Google Analytics, Matomo (auch wenn es self-hosted ist) oder auch der Facebook Pixel, und was über die Prüfung sonst noch zu erkennen ist
  • Cookie Banner mit Einwilligung über Plugin lösen (z.B. das beliebte Borlabs Cookie*, Pixelmate oder WP DSGVO)
    • Borlabs hat eine umfangreiche Dokumentation und leicht verständliche YouTube-Videos, die bei der Umsetzung helfen
    • Räume deinen Besuchern die Möglichkeit ein, die Einwilligung nachträglich zu widerrufen. Borlabs stellt hierfür einen entsprechenden Short-Code zur Einbindung in der DSE zur Verfügung
  • Auftragsdatenverarbeitungsverträge mit Drittanbietern abschliessen
    • Hosting-Provider / falls ihr eure Webseite bei macbay betreibt: hier der benötigte AVV
    • E-Mail-Anbieter / Google Mail, iCloud, web.de und andere, über die ihr eure geschäftlichen Mails laufen lasst
    • Marketing-Tool-Anbieter / Google Analytics, Facebook/Instagram, MailChimp, Newsletter2Go
    • Achtung! Drittanbieter aus den USA sind nur zulässig, wenn sie im Privacy Shield registriert sind (ein Abkommen zwischen EU & USA)
    • Freelancer und andere Dienstleister, die zumindest potentiell in Kontakt mit euren Kundendaten kommen könnten
  • Google Fonts oder Adobe Fonts – Viele WP-Themes nutzen solche Schriftarten und stellen automatische Verbindungen zu Servern der Font-Anbieter her. Die Fonts sollten daher besser auf den eigenen Webspace hochgeladen und im Theme eingebunden werden. Hierfür sollten nach dem Font-Upload über ein sogenanntes Child-Theme entsprechende Modifikationen durchgeführt werden in der functions.php und style.css. Eine gute Anleitung hierzu findet ihr unter Webfonts lokal in WordPress nutzen (Anleitung vom webtimizer-Blog)
    • Solltest du in deinem E-Mail-Marketing oder bei deinen sonstigen E-Mails per HTML-formatierte Nachrichten nutzen, achte darauf, dass dort eventuell verwendete Web-Fonts bzw. Google-Fonts ebenfalls vom eigenen Server geladen werden
  • Zustimmungen der Besucher einholen für eingebettete Videos von Youtube oder Bilder von Instagram (kann u.a. über das Borlabs Cookie* Plugin und den darin enthaltenen Content-Blocker gelöst werden)
  • Unter allen Formularen auf die DSE hinweisen
  • Unter allen Formularen Zustimmungs-Kästchen / Consent Checkboxes einfügen, mit denen die Besucher erklären, dass sie die DSE gelesen und verstanden haben. Es ist momentan zwar juristisch umstritten, ob das nötig ist. Wir setzen die Chckbox dennoch ein, weil einige Datenschutzbehörden das Fehlen dieser möglicherweise für einen Datenschutz-Verstoß halten.
  • Kontakt- und Kommentar-Formulare brauchen kein Double-Opt-in, Newsletter-Formulare hingegen brauchen das
  • Hinweis zu Plugins: Einige lassen sich nicht DSGVO-konform einsetzen und auch nicht vom Borlabs Cookie in den Einwilligungs-Prozess einarbeiten. Wenn nicht genau erkennbar ist, welches Plugin trotz Cookie-Banner immer noch z.B. die Google-Fonts-Server, ein CDN, jquery oder andere externe Seiten aufruft, einfach alle Plugins deaktivieren, eins der Reihe nach re-aktivieren und jedes Mal testen. Damit wird deutlich, welches Plugin die Drittanbieter-Verbindung über Non-WP-Standard-Maßnahmen erzwingt, was alleine schon ein Grund ist, es zu löschen. Wir helfen gerne dabei, passende Alternativen zu finden
  • Über die Privatsphäre-Einstellungen in WordPress gibt es die Möglichkeit, den Kunden, die sich über eure WP-Site registriert oder Kommentare hinterlassen haben, die auf der Webseite gespeicherten Daten eigenständig abrufen und löschen zu lassen. Ihr findet diese Einstellungen im Dashboard unter Einstellungen > Datenschutz bzw. über deinedomain.de/wp-admin/privacy.php
  • In WordPress können in den Kommentar-Feldern sogenannte Gravatare und Emojis zum Einsatz kommen, was eine Verbindung im Frontend zu den Servern vom wp.com herstellt. Das kostenlose Plugin „LiteSpeed Cache“ enthält einige Einstellungen, um Emojis zu unterbinden. Gravatare können im Dashboard unter Einstellungen > Diskussionen deaktiviert werden
  • Platziert eure Datenschutzerklärung & Impressum so, dass sie von überall mit maximal einem Klick angezeigt werden
    • Es ist möglich, die Hinweise zum Datenschutz und das Impressum auf derselben Seite zu platzieren, sofern der Link zu dieser eindeutig gekennzeichnet ist – z.B. mit der Formulierung „Impressum & Datenschutz“
    • Achtet darauf, dass die Datenschutzerklärung und Impressum auf der Login-Seite angezeigt wird
  • Security Header prüfen (entweder über Webkoll oder securityheaders.com) / Was mindestens „grün“ sein sollte:
    • Strict-Transport-Security, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Feature-Policy (Content-Security-Policy umzusetzen ist sehr aufwendig, wird dafür voraussichtlich erst in einigen Monaten Pflicht) = mindestens „C“
    • Umsetzung über den Einsatz entsprechender Direktive in der .htaccess Datei im Webseiten-Basisverzeichnis
      • z.B. über FTP > htaccess zu finden als unsichtbare Datei mit einem Punkt davor
  • Prüft eure Datenschutzerklärung und Impressum auf Vollständigkeit und Richtigkeit. Alternative:

Lasst euer Impressum und Datenschutzerklärung kostenlos von macbay prüfen

Verwendete Abkürzungen

AVV = Auftragsdatenverarbeitungs-Vertrag
CMS = Content Management System / Software zur Erstellung von Webseiten
DSE = Datenschutzerklärung
SSL = Secure Sockets Layer / alte Bezeichnung für:
TLS = Transport Layer Security / ein Netzwerkprotokoll zur sicheren Übertragung von Daten