Seit dem 25.05.2018 gilt die Datenschutz-Grundverordnung - kurz DSGVO - in Deutschland. Die DSGVO zielt auf alle Personen und Organisationen, die personenbezogene Daten verarbeiten. Das bedeutet es ist unerheblich, ob jemand Geld mit seinem Internetauftritt verdient oder nicht. Einziges Kriterium ist die Verarbeitung personenbezogener Daten und dies ist bei dem Betrieb einer Internetseite mit WordPress der Fall. Insofern sollte auch jeder Hobbyblogger sich Gedanken über WordPress und die DSGVO machen.
Was findest Du in diesem Artikel?
Artikel zu WordPress und der DSGVO gibt es bereits unzählige. Auch wir mussten uns durch die leider eher unklaren Vorgaben der DSGVO arbeiten. Daher haben wir uns entschieden nicht einfach noch einen ultralangen WordPress-DSGVO-Artikel hinzuzufügen, sondern wollen Dir vielmehr einen Überblick über das Thema geben und an geeigneter Stelle auf andere bereits bestehende hilfreiche Artikel und Seiten verweisen.
Website Recht und DSGVO im Video
Falls du nicht so gerne liest und dir lieber in Ruhe einen Überblick in Form eines Videos verschaffen willst, kannst du dir auch die 5. Episode unseres Divi Webcasts ansehen:
Was ist die DSGVO?
In der Datenschutz-Grundverordnung wird der Umgang mit personenbezogenen Daten europaweit geregelt.
Der Grundgedanke der DSGVO ...
- den Datenschutz zu stärken,
- für mehr Transparenz zu sorgen und
- Betroffene mit mehr Rechten auszustatten.
Da Deutschland in Sachen Datenschutz immer schon eine Vorreiterrolle in Europa hatte, sind die Veränderungen in Bezug zu dem vorher geltenden alten Bundesdatenschutzgesetz (BDSG) eigentlich nicht so groß. Leider steckt der Teufel im Detail und die kleinen Veränderungen haben allerdings gerade für Websitebetreiber eine große Auswirkung. Darüber hinaus entdecken viele bei den DSGVO-Vorbereitungen Vorschriften, die sie bisher nicht erfüllen, die aber schon lange vor dem Inkrafttreten der DSGVO galten.
Die Ziele der DSGVO sind aus unserer Sicht grundsätzlich zu begrüßen. Leider ist bei der Umsetzung offenbar nicht an die Situation von "kleinen" Websitebetreibern gedacht worden. Außerdem lässt sich der DSGVO oftmals nicht klar und eindeutig entnehmen was ganz konkret zu tun ist, damit man rechtlich auf der sicheren Seite ist. Derzeit gelten viele Fragen noch als Auslegungssache, die erst mit zukünftigen Gerichtsurteilen klarer beantwortet werden.
Wenn Du genauer wissen willst was der Hintergrund der DSGVO ist, empfehlen wir Dir die Folge 54 "Alles zur EU-Datenschutzgrundverordnung" des Jura Podcast "Rechtsbelehrung" mit Marcus Richter und Thomas Schwenke anzuhören. Achtung: Hier geht es wirklich mehr um die Hintergründe. Praktische Tipps zur Erstellung einer Datenschutzerklärung findest Du erst in der nächsten Folge 55 "Datenschutzerklärung FAQ".
Was sind personenbezogene Daten?
Nach der DSGVO sind personenbezogene Daten sind Angaben, die bei Zuordnung zu einer natürlichen Person Einblicke ermöglichen in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität (Artikel 4 Ziffer 1 DSGVO).
Dazu gehören z.B.:
- Name, Alter, Familienstand, Geburtsdatum, Anschrift, Telefonnummer, E-Mail Adresse, Regligionszugehörigkeit
- Konto-, Kreditkartennummer, Personalausweisnummer
- Online-Daten (IP-Adresse, Standortdaten usf.)
Als Betreiber einer Website, sorgen gerade die Online-Daten dafür, dass Du Dich fast immer um die DSGVO kümmern musst. Denn jeder Besucher Deiner Website übermittelt seine IP-Adresse an Deinen Server und CMS-System - auch wenn es demjenigen oft gar nicht bewusst ist.
Rechte der Betroffenen
Die DSGVO gibt Betroffenen eine ganze Reihe an Rechten. Dazu gehören:
- Informationspflichten gegenüber den Betroffenen
- Auskunftsrecht (Art. 15 DSGV)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Datenlöschung, „Das Recht auf Vergessenwerden“ (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Eine ausführliche Erläuterung findest Du auf Datenschutz-Notizen.de. Diese Rechte führen dazu, dass Du als Betreiber einer Website eine ganze Reihe von Informationspflichten hast.
Der DSGVO-Gau: Was ist das Schlimmste, das mir passieren kann?
Viele fragen sich, warum sie sich überhaupt um den ganzen Kram kümmern sollten? Der Grund liegt darin, dass viele Websitebetreiber die Vorschriften des DSGVO befolgen müssen, ansonsten können von drei Seiten Probleme bzw. Strafen auf einen zukommen.
1. Datenschutzbehörde
Sollte die zuständige Datenschutzbehörde auf Deine Verstöße aufmerksam werden, weil z.B. ein Kunde Dich gemeldet hat, wird diese die Sachlage prüfen und ggf. Bußgelder bis zu 20 Millionen Euro beziehungsweise bei Unternehmen sogar bis zu vier Prozent des Weltjahresumsatzes verhängen.
Dieses Schreckensszenario nutzen derzeit viele, um Dienstleistungen rund um die DSGVO zu verkaufen. Allerdings sind das die absoluten Obergrenzen und die Behörden sind bisher schon eher zurückhaltend mit ihren Maßregelungen gewesen. Es deutet nichts darauf hin, dass sich das zukünftig ändern sollte (siehe "Bußgelder bei Datenschutzverstößen: Angst vor einem Phantom" auf Netzpolitik.org).
Auf einfache Websitebetreiber sollte aus dieser Richtung also kein allzugroßes Risiko zukommen. Vor allem wenn man die wesentlichsten Punkte der DSGVO berücksichtigt.
2. Abmahnungen
Viele kennen Abmahnungen eher aus dem Arbeitsleben. Im deutschen Recht ist es allerdings Unternehmen möglich z.B. auf der Basis des Gesetz gegen den unlauteren Wettbewerb (UWG) andere Unternehmen oder Personen abzumahnen.
Durch die Abmahnung wird eine Person oder ein Unternehmen aufgefordert ein angeblich fehlerhaftes Verhalten zu unterlassen. Als Ausgleich soll man sich dazu verpflichten, einen gewissen Geldbetrag zu zahlen, der je nach Vergehen unterschiedlich hoch ausfallen kann. Außerdem soll man sich verpflichten für den Fall der Wiederholung einen hohen Schadensersatz zu zahlen. Anderenfalls werden gerichtliche Schritte angedroht.
Bisher war gerade im Blog-Umfeld die Abmahnung wegen unrechtmäßig verwendeter Bilder, die häufigste Abmahnursache. Hierzu gibt es eine sehr detaillierte "FAQ zu Abmahnungen wegen unerlaubter Bildernutzung".
Es wird erwartet, dass vermutete Verstöße gegen die DSGVO, abgemahnt werden (die ersten Abmahnungen sind auch schon aufgetaucht). Der Erhalt einer Abmahnung ist meist recht unangenehm, da die veranschlagten Kosten schnell mehrere hundert Euro erreichen.
Leider kursieren derzeit Aussagen von Rechtsanwälten, die behaupten Abmahnungen auf Basis der DSGVO wären unwirksam. Das ist aber mehr als Umstritten: "DSGVO Abmahnungen: Ein paar Worte zu Halb- und Unwahrheiten" von Rechtsanwalt Niklas Plutte.
Es existiert eine sehr informative Übersichtsseite zu bereits erfolgten DSGVO-bezogenen Abmahnungen von der Rechtsanwältin Regina Stoiber, die regelmäßig aktualisiert wird und Hinweise darüber enthält mit welchen Maßnahmen Du Dich absichern kannst: "DSGVO Abmahnungen: Aktuelle Übersicht und Links". Bisher scheint die vorher befürchtete Abmahnwelle nicht eingetreten zu sein.
Abgemahnt zu werden ist für den einfachen Websitebetreiber derzeit sicherlich wesentlich wahrscheinlicher als dass es zu einem Bußgeld durch die Datenschutzbehörde kommt. Daher versuchen die meisten Websitebetreiber Abmahnern wenig Angriffsfläche zu bieten und möglichst alle Vorschriften der DSGVO umzusetzen.
3. Kunden und Unternehmen verlieren
Dadurch dass die DSGVO öffentlich relativ breit diskutiert wurde, sind viele potentielle Kunden sich ihrer Rechte und der Pflichten anderer sehr bewusst. Wird deutlich, dass Du Dich nicht um die DSGVO kümmerst, kannst Du schnell Besucher und Kunden verlieren. Hast Du Unternehmen als Kunden, werden diese noch genauer auf Deinen Umgang mit personenbezogenen Daten achten, denn dazu sind sie verpflichtet.
Die wichtigsten Schritte in Bezug auf die DSGVO sind
Die folgenden fünf Punkte sind die wesentlichen Schritte, um der DSGVO gerecht zu werden.
- Brauche ich einen Datenschutzbeauftragten?
- Das Erstellen eines "Verzeichnis der Verarbeitungstätigkeiten" (kurz VVT)
- Das Erstellen einer Datenschutzerklärung
- Anpassungen meiner Prozesse, Website, Einstellungen, Plugins, Dienste
- Schließen von Auftragsverarbeitungsverträgen (kurz AVV, früher auch nur mit AV abgekürzt)
Wenn Du einen schnellen allgemeinen Überblick über all das erhalten möchtest, schau Dir die "DSGVO-Checkliste" von akademie.de an.
1. Brauche ich einen Datenschutzbeauftragten?
Für den "einfachen" Websitebetreiber lautet die Antwort auf die erste Frage in der Regel "Nein". Auf der Seite der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen findest Du einen interaktiven Selbstcheck "Wer muss Datenschutzbeauftragte bestellen?".
Du solltest dir aber darüber bewusst sein, dass auch wenn Du keinen offiziellen Datenschutzbeauftragten berufen musst, trotzdem stets ein Verantwortlicher für den Datenschutz zu benennen ist. In der Regel bist das Du als Websitebetreiber.
2. Verzeichnis der Verarbeitungstätigkeiten (VVT)
Das Verzeichnis der Verarbeitungstätigkeiten ist eine Auflistung aller Verarbeitungstätigkeiten in welchen personenbezogene Daten verarbeitet werden.
Viele Unternehmen verweisen darauf, dass das Gesetz Unternehmen mit weniger als 250 Mitarbeitern von den Rechenschaftspflichten befreit (Art. 30 Abs. 5 DSGVO). Allerdings gilt diese Ausnahme bereits dann nicht, wenn die Verarbeitung personenbezogener Daten „nicht nur gelegentlich“ erfolgt.
Da moderne Unternehmen Daten, sei es via Website, Shop, CRM-Systeme, Lohnabrechnungssysteme etc. permanent, also nicht nur gelegentlich, verarbeiten, wird diese Befreiung äußerst selten zur Anwendung kommen.
Zitat: Rechtsanwalt Dr. Schwenke im T3N-Guide "DSGVO für Unternehmer"
Derzeit sehen viele es so, dass auch der einfache Blogger nicht davon ausgenommen ist, wenn er z.B. einen regelmäßigen Newsletter verschickt oder seine Websitebesucher mit Google Analytics zählen lässt.
Allerdings ist aus unserer Sicht ein fehlendes VVZ bei einem Blogger nicht so extrem schlimm, denn das Verzeichnis der Verarbeitungstätigkeiten muss nur auf Anfrage der Aufsichtsbehörde vorgelegt werden. Es ist nichts, was Ihr sonstigen anderen aushändigen oder vorzeigen müsst. Also kann ein fehlendes VVZ nicht von anderen abgemahnt werden. Außerdem ist es gerade bei einfachen Websiteprojekten relativ einfach erstellt.
Der Vorteil eines vorhandenen VVZ ist, dass Du darin alle Informationen gesammelt haben solltest, die Du später für die Erstellung Deines Datenschutzhinweises auf Deiner Website benötigst.
Wir finden die Artikel der Rechtsanwältin Regina Stoiber sehr hilfreich:
- In "Datenschutz Verfahrensverzeichnis mit Muster" findest du eine Mustervorlage für das VVZ und
- in ihrem Artikel "Vorschläge für ein Verfahrensverzeichnis DSGVO" finden sich viele Beispiele dafür wie die entsprechenden Einträge aussehen sollten.
3. Datenschutzerklärung
Als erstes ist es wichtig eine Datenschutzerklärung (DSE) auf der Website einzurichten. Diese muss von jeder anderen Seite des Internetauftrittes mit nur einem Klick aufgerufen werden können. Es bietet sich also an diese im Footer der Seite zu verlinken.
Die Datenschutzerklärung muss mehreren Anforderungen gerecht werden, die teilweise etwas schwierig in Einklang miteinander zu bringen sind. Die Datenschutzerklärung soll für den Leser verständlich sein, die für den Datenschutz verantwortliche Person benennen, die wichtigen Rechte der Besucher benennen und erklären welche Daten und auf welcher rechtlichen Basis verarbeitet werden. Das klingt nicht nur umfangreich, das ist es in vielen Fällen auch.
Glücklicherweise stehen ähnlich wie für das Impressum Generatoren für die Datenschutzerklärung zur Verfügung wie z.B. den Datenschutz-generator.de von Rechtsanwalt Schwenke, der allerdings nur für Privatpersonen kostenfrei ist. Die Anwaltskanzlei Weiß & Partner und auch WBS-Law.de stellen dahingegen für jeden kostenfrei verwendbare Datenschutzgeneratoren zur Verfügung. Es wird als Gegenleistung nur ein kurzer Herkunftshinweis mit Link am Ende des Textes gefordert.
Um die Generatoren richtig zu verwenden, musst Du Dir allerdings darüber klar werden welche Plugins und Dienste Du auf Deiner Website verwendest, damit Du die passenden Dienste im Generator auswählen kannst. Daher solltest du Dich vorher in das Thema etwas einlesen.
Dazu haben bereits andere gute Artikel verfasst, so dass wir an dieser Stelle nur auf die wichtigsten Artikel verweisen. Eine gute Quelle ist Blogmojo. Hier haben die Betreiber Finn und Nele mit Hilfe von einigen Gastautoren in mehreren Artikeln die wichtigsten Infos zusammengetragen:
- DSGVO Checkliste
- WordPress-Plugins im DSGVO-Check
- Google & die DSGVO
- DSGVO-Linksammlung
- Liste mit AV-Verträgen
- YouTube & die DSGVO
4. Anpassungen meiner Prozesse, Website, Einstellungen, Plugins, Dienste
In den genannten Artikeln findest Du eine Menge Hinweise dazu welche Plugins und Einstellungen problematisch sein können. Außerdem viele Tipps wie sich Dienste DSGVO-konform in Deine Website einbinden lassen.
Dies alles solltest Du möglichst zügig umsetzen. Außerdem kannst Du schon Informationen darüber sammeln welche Plugins und Dienste Du verwendest, die dann später auch in der Datenschutzerklärung genannt werden müssen.
Auch wenn wir uns hier auf Deine Website konzentrieren, kann es ggf. auch wichtig sein eine Datenschutzerklärung zu erstellen, die Du Deinen Kunden gibst bzw. die Du Dir von Ihnen unterschreiben lässt. Gerade wenn du geschäftlich tätig bist, solltest Du das genaue Vorgehen mit einem Anwalt oder der Unterstützung der passenden Verbände oder Organisationen wie z.B. die Handelskammer abstimmen.
5. Schließen von Auftragsverarbeitungsverträgen (AVV)
Das könnte man im Grunde auch noch als eine Erweiterung von Punkt 4. betrachten. Einerseits musst Du mit Diensten oder Anbietern, die in Deinem Auftrag Daten verarbeiten sogenannte Auftragsverarbeitungsverträge abschließen. Dazu gehört z.B. Google, falls Du Google Analytics auf Deiner Website verwendest.
Anders herum, falls Du im Auftrag anderer Daten verarbeitest, solltest Du einen entsprechenden Auftragsverarbeitungsvertrag erstellen, den Du Dir von Deinen Auftraggebern unterzeichnen lässt.
So das war es dann glücklicherweise auch mit den wichtigen Schritten.
Was hat WordPress mit der DSGVO zu tun?
Zunächst einmal kann WordPress personenbezogene Daten verarbeiten. Dann wird für den Betrieb von WordPress ein Server benötigt, der in der Regel ebenfalls personenbezogene Daten verarbeitet. Hinzu kommen noch Themes, Plugins oder andere in WordPress eingebundene Dienste und Funktionen, die — Du ahnst es schon — auch personenbezogene Daten verarbeiten können.
Nach der DSGVO musst Du jede Form der von Verarbeitung von personenbezogenen Daten erläutern und erklären auf welcher rechtlichen Basis dies geschieht.
Wenn auch sehr spät, so hat WordPress noch rechtzeitig ein Update erhalten, dass mehrere Funktionen mitbringt, die helfen sollen der DSGVO genüge zu tun.
DSGVO WordPress Funktionen
Am 17.05.2017 erschien die WordPress Version 4.9.6, die hauptsächlich neue Funktionen in Bezug auf die DSGVO mit sich brachte:
1. Datenschutzeinstellung
Es gibt einen neuen "Datenschutz" Menüpunkt im Adminbereich unter "Einstellungen". Dort lässt sich eine Seite als Datenschutzerklärung bestimmen. Beim neu Anlegen wird automatisch ein Standardtext eingefügt, den man aber unbedingt überarbeiten bzw. ergänzen sollte, da dieser den DSGVO Anforderungen nicht ausreichend entspricht.
Themes und Plugins, die personenbezogene Daten speichern, können automatisch passende Texteabschnitte vorschlagen, die beim Bearbeiten der Datenschutzseite sichtbar werden. In der Regel werden diese Texte, wenn überhaupt, eher in englischer Sprache angeboten werden. D.h. Du kannst die Texte als Anregung betrachten, aber solltest lieber Recherchieren und selbst einen passenden Text verfassen oder aus einem der Datenschutz Generatoren holen.
Das wohl Interessanteste an dieser Funktion ist, dass der Link zur Datenschutzseite automatisch auch auf der Registrierungs- und Loginseite von WordPress eingebunden wird. Da dort kein Footer des regulären Themes angezeigt wird, könnte dies ansonsten datenschutzrechtlich problematisch sein. Deshalb solltest du diese Einstellung unbedingt vornehmen!
2. Exportieren und Löschen von personenbezogenen Daten
Im Adminbereich "Werkzeuge" sind zwei Funktionen hinzugekommen. Zum einen "Personenbezogene Daten löschen". Falls Du von jemanden entsprechend der DSGVO aufgefordert wirst seine Daten zu löschen, geht das zumindest innerhalb von WordPress relativ einfach.
Du gibt die E-Mailadresse ein und derjenige erhält eine E-Mail an diese Adresse, die er bestätigen muss, um sicher zu gehen, dass er auch der Inhaber dieser E-Mailadresse ist. Gleichzeitig werden dann in WordPress alle zu dieser E-Mailadresse gehörenden Daten gelöscht. Das werden in der Regel Kommentareinträge sein.
Relativ ähnlich funktioniert die Option "Personenbezogene Daten exportieren". Diese ist für den Fall, dass jemand Dich auffordert ihm alle von ihm gespeicherten Daten zuzusenden. Genauso wie bei der Löschung wird als erstes eine zu bestätigende E-Mail an die genannte Adresse versandt, bevor dieser die Daten herunterladen kann.
3. Kommentarcheckboxen
Es werden (abhängig vom Theme) Checkboxen zu Deinem Kommentarfomularen mit dem Text "Meinen Namen, E-Mail und Website in diesem Browser speichern, bis ich wieder kommentiere" hinzugefügt. Damit wird das Einverständnis eingeholt einen entsprechenden Cookie zu setzen, um den Nutzer wiederzuerkennen. Wird die Checkbox nicht angehakt, kann der Kommentar trotzdem eingereicht werden, aber der Besucher muss seine Angaben jedes Mal erneut eingeben.
Cookie Consent Plugins
Leider nicht direkt in WordPress integriert, für deutschsprachige Websites aber notwendig sobald auch nur ein DSGVO relevanter Cookie gesetzt wird, sind sogenannter Cookie Consent oder auch Cookie Banner Plugins. Es muss beim Aufruf der Website vorher geklärt werden, ob der Besucher mit dem Setzen von Cookies oder anderen Formen der Weitergabe der IPs einverstanden ist. Dazu gehört z.B. die direkte Einbindung von YouTube Videos oder Cookies von Tracking Diensten wie Google Analytics oder Newsletteranbieter wie ActiveCampaign.
Leider ist die Thematik auch wieder ziemlich komplex, doch glücklicherweise gibt es auch hier sehr ausgefeilte Plugins wie z.B. Real Cookie Banner, das bereits in der kostenfreien Version viele wichtigen Punkte abdeckt.
Fazit WordPress und DSGVO
Auch wenn das Thema auf den ersten Blick ziemlich umfangreich erscheint, so lohnt es sich doch alles einmal durchzuarbeiten. Anschließend ist man in Sachen DSGVO gut aufgestellt und braucht sich keine großen Sorgen zu machen.
Weitere Interessante Links:
- DSGVO FAQ’s: Fragen und Antworten zum Datenschutz von Rechtsanwältin Regina Stoiber
- Die große FAQ zu Abmahnungen wegen unerlaubter Bildernutzung von Rechtsanwalt Dr. Thomas Schwenke
- DSGVO für WordPress inkl. Google Fonts, Cookie
