Search
Generic filters
Exact matches only
Filter by Custom Post Type

WordPress & DSGVO: Datenschutz beachten

Lesezeit ca. 15 Minuten

Seit dem 25.05.2018 gilt die Datenschutz-Grundverordnung – kurz DSGVO – in Deutschland. Die DSGVO zielt auf alle Personen und Organisationen, die personenbezogene Daten verarbeiten. Das bedeutet es ist unerheblich, ob jemand Geld mit seinem Internetauftritt verdient oder nicht. Einziges Kriterium ist die Verarbeitung personenbezogener Daten und dies ist bei dem Betrieb einer Internetseite mit WordPress der Fall. Insofern sollte auch jeder Hobbyblogger sich Gedanken über WordPress und die DSGVO machen.

Das Rechtliche vorweg: Wir schreiben unsere auf Erfahrungen und eigener Recherche beruhenden eigene Meinung und können nicht für deren Korrektheit garantieren. Wir sind keine Anwälte und bieten mit diesem Artikel keine Rechtsberatung. Falls Du konkrete Fragen oder Probleme hast, solltest Du Dich an einen auf Datenschutz spezialisierten Anwalt wenden.

Was findest Du in diesem Artikel?

Artikel zu WordPress und der DSGVO gibt es bereits unzählige. Auch wir mussten uns durch die leider eher unklaren Vorgaben der DSGVO arbeiten. Daher haben wir uns entschieden nicht einfach noch einen ultralangen WordPress-DSGVO-Artikel hinzuzufügen, sondern wollen Dir vielmehr einen Überblick über das Thema geben und an geeigneter Stelle auf andere bereits bestehende hilfreiche Artikel und Seiten verweisen.

Was ist die DSGVO?

In der Datenschutz-Grundverordnung wird der Umgang mit personenbezogenen Daten europaweit geregelt.

Der Grundgedanke der DSGVO …

  • den Datenschutz zu stärken,
  • für mehr Transparenz zu sorgen und
  • Betroffene mit mehr Rechten auszustatten.

Da Deutschland in Sachen Datenschutz immer schon eine Vorreiterrolle in Europa hatte, sind die Veränderungen in Bezug zu dem vorher geltenden alten Bundesdatenschutzgesetz (BDSG) eigentlich nicht so groß. Leider steckt der Teufel im Detail und die kleinen Veränderungen haben allerdings gerade für Websitebetreiber eine große Auswirkung. Darüber hinaus entdecken viele bei den DSGVO-Vorbereitungen Vorschriften, die sie bisher nicht erfüllen, die aber schon lange vor dem Inkrafttreten der DSGVO galten.

Die Ziele der DSGVO sind aus unserer Sicht grundsätzlich zu begrüßen. Leider ist bei der Umsetzung offenbar nicht an die Situation von „kleinen“ Websitebetreibern gedacht worden. Außerdem lässt sich der DSGVO oftmals nicht klar und eindeutig entnehmen was ganz konkret zu tun ist, damit man rechtlich auf der sicheren Seite ist. Derzeit gelten viele Fragen noch als Auslegungssache, die erst mit zukünftigen Gerichtsurteilen klarer beantwortet werden.

Wenn Du genauer wissen willst was der Hintergrund der DSGVO ist, empfehlen wir Dir die Folge 54 „Alles zur EU-Datenschutzgrundverordnung“ des Jura Podcast „Rechtsbelehrung“ mit Marcus Richter und Thomas Schwenke anzuhören. Achtung: Hier geht es wirklich mehr um die Hintergründe. Praktische Tipps zur Erstellung einer Datenschutzerklärung findest Du erst in der nächsten Folge 55 „Datenschutzerklärung FAQ„.

Was sind personenbezogene Daten?

Nach der DSGVO sind personenbezogene Daten sind Angaben, die bei Zuordnung zu einer natürlichen Person Einblicke ermöglichen in deren physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität (Artikel 4 Ziffer 1 DSGVO).

Dazu gehören z.B.:

  • Name, Alter, Familienstand, Geburtsdatum, Anschrift, Telefonnummer, E-Mail Adresse, Regligionszugehörigkeit
  • Konto-, Kreditkartennummer, Personalausweisnummer
  • Online-Daten (IP-Adresse, Standortdaten usf.)

Als Betreiber einer Website, sorgen gerade die Online-Daten dafür, dass Du Dich fast immer um die DSGVO kümmern musst. Denn jeder Besucher Deiner Website übermittelt seine IP-Adresse an Deinen Server und CMS-System – auch wenn es demjenigen oft gar nicht bewusst ist.

Ganz wichtig: Ob Du von der DSGVO betroffen bist oder nicht, entscheidet sich nicht darüber, ob Du Geld mit Deiner Website verdienst oder nicht, sondern alleine dadurch, ob du personenbezogene Daten verarbeitest oder nicht! Und das ist leider fast immer der Fall.

Rechte der Betroffenen

Die DSGVO gibt Betroffenen eine ganze Reihe an Rechten. Dazu gehören:

  • Informationspflichten gegenüber den Betroffenen
  • Auskunftsrecht (Art. 15 DSGV)
  • Recht auf Berichtigung (Art. 16 DSGVO)
  • Recht auf Datenlöschung, „Das Recht auf Vergessenwerden“ (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Eine ausführliche Erläuterung findest Du auf Datenschutz-Notizen.de. Diese Rechte führen dazu, dass Du als Betreiber einer Website eine ganze Reihe von Informationspflichten hast.

Der DSGVO-Gau: Was ist das Schlimmste, das mir passieren kann?

Viele fragen sich, warum sie sich überhaupt um den ganzen Kram kümmern sollten? Der Grund liegt darin, dass viele Websitebetreiber die Vorschriften des DSGVO befolgen müssen, ansonsten können von drei Seiten Probleme bzw. Strafen auf einen zukommen.

1. Datenschutzbehörde

Sollte die zuständige Datenschutzbehörde auf Deine Verstöße aufmerksam werden, weil z.B. ein Kunde Dich gemeldet hat, wird diese die Sachlage prüfen und ggf. Bußgelder bis zu 20 Millionen Euro beziehungsweise bei Unternehmen sogar bis zu vier Prozent des Weltjahresumsatzes verhängen.

Dieses Schreckensszenario nutzen derzeit viele, um Dienstleistungen rund um die DSGVO zu verkaufen. Allerdings sind das die absoluten Obergrenzen und die Behörden sind bisher schon eher zurückhaltend mit ihren Maßregelungen gewesen. Es deutet nichts darauf hin, dass sich das zukünftig ändern sollte (siehe „Bußgelder bei Datenschutzverstößen: Angst vor einem Phantom“ auf Netzpolitik.org).

Auf einfache Websitebetreiber sollte aus dieser Richtung also kein allzugroßes Risiko zukommen. Vor allem wenn man die wesentlichsten Punkte der DSGVO berücksichtigt.

2. Abmahnungen

Viele kennen Abmahnungen eher aus dem Arbeitsleben. Im deutschen Recht ist es allerdings Unternehmen möglich z.B. auf der Basis des Gesetz gegen den unlauteren Wettbewerb (UWG) andere Unternehmen oder Personen abzumahnen.

Durch die Abmahnung wird eine Person oder ein Unternehmen aufgefordert ein angeblich fehlerhaftes Verhalten zu unterlassen. Als Ausgleich soll man sich dazu verpflichten, einen gewissen Geldbetrag zu zahlen, der je nach Vergehen unterschiedlich hoch ausfallen kann. Außerdem soll man sich verpflichten für den Fall der Wiederholung einen hohen Schadensersatz zu zahlen. Anderenfalls werden gerichtliche Schritte angedroht.

Bisher war gerade im Blog-Umfeld die Abmahnung wegen unrechtmäßig verwendeter Bilder, die häufigste Abmahnursache. Hierzu gibt es eine sehr detaillierte „FAQ zu Abmahnungen wegen unerlaubter Bildernutzung„.

Es wird erwartet, dass vermutete Verstöße gegen die DSGVO, abgemahnt werden (die ersten Abmahnungen sind auch schon aufgetaucht). Der Erhalt einer Abmahnung ist meist recht unangenehm, da die veranschlagten Kosten schnell mehrere hundert Euro erreichen.

Kostenloser E-Mail-Kurs: Wir zeigen Dir einsteigerfreundlich die Grundlagen der Suchmaschinenoptimierung - direkt und einfach: Anmelden!

Leider kursieren derzeit Aussagen von Rechtsanwälten, die behaupten Abmahnungen auf Basis der DSGVO wären unwirksam. Das ist aber mehr als Umstritten: „DSGVO Abmahnungen: Ein paar Worte zu Halb- und Unwahrheiten“ von Rechtsanwalt Niklas Plutte.

Es existiert eine sehr informative Übersichtsseite zu bereits erfolgten DSGVO-bezogenen Abmahnungen von der Rechtsanwältin Regina Stoiber, die regelmäßig aktualisiert wird und Hinweise darüber enthält mit welchen Maßnahmen Du Dich absichern kannst: „DSGVO Abmahnungen: Aktuelle Übersicht und Links„. Bisher scheint die vorher befürchtete Abmahnwelle nicht eingetreten zu sein.

Abgemahnt zu werden ist für den einfachen Websitebetreiber derzeit sicherlich wesentlich wahrscheinlicher als dass es zu einem Bußgeld durch die Datenschutzbehörde kommt. Daher versuchen die meisten Websitebetreiber Abmahnern wenig Angriffsfläche zu bieten und möglichst alle Vorschriften der DSGVO umzusetzen.

Wichtig: Wenn Du eine Abmahnung erhältst, dann solltest Du weder gar nichts tun, noch einfach die Abmahnung unterschreiben und die geforderte Summe zahlen. Meist ist der Gang zu einem Anwalt ratsam, denn der kann einschätzen, ob die Forderung überhaupt rechtmäßig ist und falls doch, sehr oft die geforderte Summe senken.

3. Kunden und Unternehmen verlieren

Dadurch dass die DSGVO öffentlich relativ breit diskutiert wurde, sind viele potentielle Kunden sich ihrer Rechte und der Pflichten anderer sehr bewusst. Wird deutlich, dass Du Dich nicht um die DSGVO kümmerst, kannst Du schnell Besucher und Kunden verlieren. Hast Du Unternehmen als Kunden, werden diese noch genauer auf Deinen Umgang mit personenbezogenen Daten achten, denn dazu sind sie verpflichtet.

Die wichtigsten Schritte in Bezug auf die DSGVO sind

Die folgenden fünf Punkte sind die wesentlichen Schritte, um der DSGVO gerecht zu werden.

  1. Brauche ich einen Datenschutzbeauftragten?
  2. Das Erstellen eines „Verzeichnis der Verarbeitungstätigkeiten“ (kurz VVT)
  3. Das Erstellen einer Datenschutzerklärung
  4. Anpassungen meiner Prozesse, Website, Einstellungen, Plugins, Dienste
  5. Schließen von Auftragsverarbeitungsverträgen (kurz AVV, früher auch nur mit AV abgekürzt)

Wenn Du einen schnellen allgemeinen Überblick über all das erhalten möchtest, schau Dir die „DSGVO-Checkliste“ von akademie.de an.

1. Brauche ich einen Datenschutzbeauftragten?

Für den „einfachen“ Websitebetreiber lautet die Antwort auf die erste Frage in der Regel „Nein“. Auf der Seite der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen findest Du einen interaktiven Selbstcheck „Wer muss Datenschutzbeauftragte bestellen?„.

Du solltest dir aber darüber bewusst sein, dass auch wenn Du keinen offiziellen Datenschutzbeauftragten berufen musst, trotzdem stets ein Verantwortlicher für den Datenschutz zu benennen ist. In der Regel bist das Du als Websitebetreiber.

2. Verzeichnis der Verarbeitungstätigkeiten (VVT)

Das Verzeichnis der Verarbeitungstätigkeiten ist eine Auflistung aller Verarbeitungstätigkeiten in welchen personenbezogene Daten verarbeitet werden.

Viele Unternehmen verweisen darauf, dass das Gesetz Unternehmen mit weniger als 250 Mitarbeitern von den Rechenschaftspflichten befreit (Art. 30 Abs. 5 DSGVO). Allerdings gilt diese Ausnahme bereits dann nicht, wenn die Verarbeitung personenbezogener Daten „nicht nur gelegentlich“ erfolgt.

Da moderne Unternehmen Daten, sei es via Website, Shop, CRM-Systeme, Lohnabrechnungssysteme etc. permanent, also nicht nur gelegentlich, verarbeiten, wird diese Befreiung äußerst selten zur Anwendung kommen.

Zitat: Rechtsanwalt Dr. Schwenke im T3N-Guide „DSGVO für Unternehmer

Derzeit sehen viele es so, dass auch der einfache Blogger nicht davon ausgenommen ist, wenn er z.B. einen regelmäßigen Newsletter verschickt oder seine Websitebesucher mit Google Analytics zählen lässt.

Allerdings ist aus unserer Sicht ein fehlendes VVZ bei einem Blogger nicht so extrem schlimm, denn das Verzeichnis der Verarbeitungstätigkeiten muss nur auf Anfrage der Aufsichtsbehörde vorgelegt werden. Es ist nichts, was Ihr sonstigen anderen aushändigen oder vorzeigen müsst. Also kann ein fehlendes VVZ nicht von anderen abgemahnt werden. Außerdem ist es gerade bei einfachen Websiteprojekten relativ einfach erstellt.

Der Vorteil eines vorhandenen VVZ ist, dass Du darin alle Informationen gesammelt haben solltest, die Du später für die Erstellung Deines Datenschutzhinweises auf Deiner Website benötigst.

Wir finden die Artikel der Rechtsanwältin Regina Stoiber sehr hilfreich:

3. Datenschutzerklärung

Als erstes ist es wichtig eine Datenschutzerklärung (DSE) auf der Website einzurichten. Diese muss von jeder anderen Seite des Internetauftrittes mit nur einem Klick aufgerufen werden können. Es bietet sich also an diese im Footer der Seite zu verlinken.

Wichtig: Früher haben viele einen kleinen Absatz zum Thema Datenschutz im Impressum aufgeführt, das reicht jetzt nicht mehr aus. Außerdem muss der Link zur Datenschutzerklärung eindeutig bezeichnet sein. Man kann zwar den Link „Impressum & Datenschutz“ nennen, aber wir würden raten die in der Regel recht umfangreiche Datenschutzerklärung eine eigene Seite zu gönnen.

Die Datenschutzerklärung muss mehreren Anforderungen gerecht werden, die teilweise etwas schwierig in Einklang miteinander zu bringen sind. Die Datenschutzerklärung soll für den Leser verständlich sein, die für den Datenschutz verantwortliche Person benennen, die wichtigen Rechte der Besucher benennen und erklären welche Daten und auf welcher rechtlichen Basis verarbeitet werden. Das klingt nicht nur umfangreich, das ist es in vielen Fällen auch.

Glücklicherweise stehen ähnlich wie für das Impressum Generatoren für die Datenschutzerklärung zur Verfügung wie z.B. den Datenschutz-generator.de von Rechtsanwalt Schwenke, der allerdings nur für Privatpersonen kostenfrei ist. Die Anwaltskanzlei Weiß & Partner und auch WBS-Law.de stellen dahingegen für jeden kostenfrei verwendbare Datenschutzgeneratoren zur Verfügung. Es wird als Gegenleistung nur ein kurzer Herkunftshinweis mit Link am Ende des Textes gefordert.

Um die Generatoren richtig zu verwenden, musst Du Dir allerdings darüber klar werden welche Plugins und Dienste Du auf Deiner Website verwendest, damit Du die passenden Dienste im Generator auswählen kannst. Daher solltest du Dich vorher in das Thema etwas einlesen.

Dazu haben bereits andere gute Artikel verfasst, so dass wir an dieser Stelle nur auf die wichtigsten Artikel verweisen. Eine gute Quelle ist Blogmojo. Hier haben die Betreiber Finn und Nele mit Hilfe von einigen Gastautoren in mehreren Artikeln die wichtigsten Infos zusammengetragen:

4. Anpassungen meiner Prozesse, Website, Einstellungen, Plugins, Dienste

In den genannten Artikeln findest Du eine Menge Hinweise dazu welche Plugins und Einstellungen problematisch sein können. Außerdem viele Tipps wie sich Dienste DSGVO-konform in Deine Website einbinden lassen.

Dies alles solltest Du möglichst zügig umsetzen. Außerdem kannst Du schon Informationen darüber sammeln welche Plugins und Dienste Du verwendest, die dann später auch in der Datenschutzerklärung genannt werden müssen.

Auch wenn wir uns hier auf Deine Website konzentrieren, kann es ggf. auch wichtig sein eine Datenschutzerklärung zu erstellen, die Du Deinen Kunden gibst bzw. die Du Dir von Ihnen unterschreiben lässt. Gerade wenn du geschäftlich tätig bist, solltest Du das genaue Vorgehen mit einem Anwalt oder der Unterstützung der passenden Verbände oder Organisationen wie z.B. die Handelskammer abstimmen.

5. Schließen von Auftragsverarbeitungsverträgen (AVV)

Das könnte man im Grunde auch noch als eine Erweiterung von Punkt 4. betrachten. Einerseits musst Du mit Diensten oder Anbietern, die in Deinem Auftrag Daten verarbeiten sogenannte Auftragsverarbeitungsverträge abschließen. Dazu gehört z.B. Google, falls Du Google Analytics auf Deiner Website verwendest.

Anders herum, falls Du im Auftrag anderer Daten verarbeitest, solltest Du einen entsprechenden Auftragsverarbeitungsvertrag erstellen, den Du Dir von Deinen Auftraggebern unterzeichnen lässt.

So das war es dann glücklicherweise auch mit den wichtigen Schritten.

Was hat WordPress mit der DSGVO zu tun?

Zunächst einmal kann WordPress personenbezogene Daten verarbeiten. Dann wird für den Betrieb von WordPress ein Server benötigt, der in der Regel ebenfalls personenbezogene Daten verarbeitet. Hinzu kommen noch Themes, Plugins oder andere in WordPress eingebundene Dienste und Funktionen, die — Du ahnst es schon — auch personenbezogene Daten verarbeiten können.

Nach der DSGVO musst Du jede Form der von Verarbeitung von personenbezogenen Daten erläutern und erklären auf welcher rechtlichen Basis dies geschieht.

Wenn auch sehr spät, so hat WordPress noch rechtzeitig ein Update erhalten, dass mehrere Funktionen mitbringt, die helfen sollen der DSGVO genüge zu tun.

DSGVO WordPress Funktionen

Am 17.05.2017 erschien die WordPress Version 4.9.6, die hauptsächlich neue Funktionen in Bezug auf die DSGVO mit sich brachte:

1. Datenschutzeinstellung

Es gibt einen neuen „Datenschutz“ Menüpunkt im Adminbereich unter „Einstellungen“. Dort lässt sich eine Seite als Datenschutzerklärung bestimmen. Beim neu Anlegen wird automatisch ein Standardtext eingefügt, den man aber unbedingt überarbeiten bzw. ergänzen sollte, da dieser den DSGVO Anforderungen nicht ausreichend entspricht.

Themes und Plugins, die personenbezogene Daten speichern, können automatisch passende Texteabschnitte vorschlagen, die beim Bearbeiten der Datenschutzseite sichtbar werden. In der Regel werden diese Texte, wenn überhaupt, eher in englischer Sprache angeboten werden. D.h. Du kannst die Texte als Anregung betrachten, aber solltest lieber Recherchieren und selbst einen passenden Text verfassen oder aus einem der Datenschutz Generatoren holen.

Das wohl Interessanteste an dieser Funktion ist, dass der Link zur Datenschutzseite automatisch auch auf der Registrierungs- und Loginseite von WordPress eingebunden wird. Da dort kein Footer des regulären Themes angezeigt wird, könnte dies ansonsten datenschutzrechtlich problematisch sein. Deshalb solltest du diese Einstellung unbedingt vornehmen!

2. Exportieren und Löschen von personenbezogenen Daten

Im Adminbereich „Werkzeuge“ sind zwei Funktionen hinzugekommen. Zum einen „Personenbezogene Daten löschen“. Falls Du von jemanden entsprechend der DSGVO aufgefordert wirst seine Daten zu löschen, geht das zumindest innerhalb von WordPress relativ einfach.

Du gibt die E-Mailadresse ein und derjenige erhält eine E-Mail an diese Adresse, die er bestätigen muss, um sicher zu gehen, dass er auch der Inhaber dieser E-Mailadresse ist. Gleichzeitig werden dann in WordPress alle zu dieser E-Mailadresse gehörenden Daten gelöscht. Das werden in der Regel Kommentareinträge sein.

Relativ ähnlich funktioniert die Option „Personenbezogene Daten exportieren“. Diese ist für den Fall, dass jemand Dich auffordert ihm alle von ihm gespeicherten Daten zuzusenden. Genauso wie bei der Löschung wird als erstes eine zu bestätigende E-Mail an die genannte Adresse versandt, bevor dieser die Daten herunterladen kann.

Achtung: In beiden Fällen bezieht sich die Löschung und Auskunft ausschließlich auf in WordPress gespeicherte Daten. Solltest Du noch anderweitig personenbezogene Daten gespeichert haben wie z.B. Briefe oder in einem Newsletter Dienst, werden diese nicht von WordPress erfasst und Du musst Dich zusätzlich darum kümmern.

3. Kommentarcheckboxen

Es werden (abhängig vom Theme) Checkboxen zu Deinem Kommentarfomularen mit dem Text „Meinen Namen, E-Mail und Website in diesem Browser speichern, bis ich wieder kommentiere“ hinzugefügt. Damit wird das Einverständnis eingeholt einen entsprechenden Cookie zu setzen, um den Nutzer wiederzuerkennen. Wird die Checkbox nicht angehakt, kann der Kommentar trotzdem eingereicht werden, aber der Besucher muss seine Angaben jedes Mal erneut eingeben.

Achtung: Nicht bei jedem Theme werden diese Checkboxen angezeigt.

Fazit WordPress und DSGVO

Auch wenn das Thema auf den ersten Blick ziemlich umfangreich erscheint, so lohnt es sich doch alles einmal durchzuarbeiten. Anschließend ist man in Sachen DSGVO gut aufgestellt und braucht sich keine großen Sorgen zu machen.

Weitere Interessante Links:

Convert Pro Popup Plugin Test

Convert Pro Popup Plugin Test & Anleitung 2019

Convert Pro ist ein sehr gutes Popup Plugin, das wir getestet haben und Du findest eine Anleitung, wie Du Dein erstes eigenes Popup erstellen kannst.

Elementor Popup Builder Test & Anleitung 2019

Elementor Popup Builder Test & Anleitung

Mit dem Elementor Popup Builder lassen sich tolle Popups und Optins erstellen. Wir haben ihn getestet und eine Anleitung erstellt.

Link in neuem Fenster öffnen: target_blank & noopener

Link auf neuer Seite öffnen: target_blank und noopener

In WordPress lassen sich Links ganz einfach auf einer neuen Seite öffnen. Allerdings kann es Probleme geben, die sich mit Hilfe von noopener lösen lassen.

Möchtest Du mehr zu WordPress?

Hol' Dir jetzt unseren kostenlosen Newsletter

15585

Einfach mehr Google-Besucher

Jetzt zum kostenlosen Kurs anmelden

15856
15585

Bitte prüfe Dein E-Mail-Postfach

Du musst Deine Anmeldung noch bestätigen!

Vielen Dank für Deine Anmeldung

15856
15585

Einfach mehr Google-Besucher

Jetzt zum kostenlosen Kurs anmelden

15856
15585

Bitte prüfe Dein E-Mail-Postfach

Du musst Deine Anmeldung noch bestätigen!

Vielen Dank für Deine Anmeldung

15856

Abonniere unseren Newsletter!

JOIN THE ELITE CLUB

3137

Du willst regelmäßig Informiert werden, wenn wir neue Artikel, Tipps und Tricks rund um WordPress veröffentlichen? Dann trage Dich jetzt ein! Zusätzlich kannst Du unsere Convert Pro Vorlage herunterladen.

Vielen Dank für Deine Anmeldung!

 

Du musst jetzt nur noch den Link in der von uns zugesandten Bestätigunsemail anklicken. Falls Du keine erhalten hast, schau bitte auch in Deinem Spamordner nach.

 

Am besten trägst Du unsere E-Mailadresse newlsetter@wphelp.de in die Whitelist Deines E-Mailprogramms oder Anbieters ein.

Nur noch ein Schritt!