Beitrag von unserem Sponsor: Raidboxes – EU-DSGVO – Darauf musst du als WordPress-Nutzer achten

EU-DSGVO – Darauf musst du als WordPress-Nutzer achten

In wenigen Wochen wird die EU-Datenschutz-Grundverordnung (EU-DSGVO) in allen Mitgliedsstaaten der Europäischen Union wirksam. Für WordPress-Agenturen, Freelancer und Webseitenbetreiber bedeutet dies: Wer die Vorgaben der DSGVO nicht bis zum 25. Mai umsetzt und der Aufsichtsbehörde gemeldet wird, geht das Risiko von Geldstrafen ein. Doch kein Grund zur Panik! Deine WordPress-Seite DSGVO-sicher zu machen, ist gar nicht so schwer. Wir zeigen dir, welche Bereiche von der DSGVO betroffen sind und welche Maßnahmen du umsetzen solltest.

Disclaimer: Dieser Artikel ersetzt keine Rechtsberatung. Im Rahmen unserer Arbeit als WordPress-Hoster haben wir uns bei RAIDBOXES intensiv mit den geltenden deutschen Datenschutzbestimmungen und der kommenden DSGVO beschäftigt. Wir übernehmen für die Vollständigkeit, Aktualität und Richtigkeit der von uns empfohlenen Maßnahmen und Inhalte keine Haftung.

Im folgenden Artikel wollen wir euch einen Überblick über notwendige Maßnahmen verschaffen. Für alle, die tiefer in die Materie einsteigen wollen, empfehlen wir unseren kostenlosen DSGVO-Guide. Auf dem WordCamp wird zudem unsere Datenschutzbeauftragte Virginia einen Barcamp Vortrag halten und Matthias euch ein DSGVO-Plugin vorstellen. Kommt gerne mit euren Fragen jederzeit auf uns zu!

Was hat es mit der DSGVO auf sich?

Die EU-Datenschutz-Grundverordnung (engl. General Data Protection Regulation) ist eine Verordnung der Europäischen Union. Das bedeutet, dass die Vorgaben der DSGVO ab dem 25. Mai unmittelbar gelten und die EU-Mitgliedsstaaten nur gering davon abweichen dürfen. Das Ziel der DSGVO ist es, in allen EU-Ländern ein ähnliches Datenschutz-Niveau zu schaffen, um die personenbezogenen Daten von EU-Bürgern besser zu schützen und den Verkehr personenbezogener Daten in der EU gesetzlich zu regeln.

Was zählt als personenbezogene Daten?

Laut der DSGVO sind personenbezogene Daten “alle Informationen, die sich auf eine identizierte oder identizierbare natürliche Person beziehen”. Dazu gehören Daten wie Name, Anschrift, E-Mail-Adresse, Telefonnummer, Geburtstag, Kontodaten, Standortdaten, IP-Adresse und Informationen über das Nutzungsverhalten.

Als WP-Nutzer verarbeitest du bspw. personenbezogene Daten, wenn du die WordPress-Kommentarfunktion nutzt, Nutzer oder Kunden sich auf deiner Seite registrieren können, du Kontaktformulare, Analyse- oder Tracking-Tools nutzt oder Plugins verwendest, die personenbezogene Daten erheben oder speichern.

Was die DSGVO für deine WordPress-Seite bedeutet

Da schon das Setzen eines Cookies oder das Speichern von IP-Adressen als Verarbeitung personenbezogener Daten gilt, muss sich im Prinzip jeder Betreiber einer WordPress-Seite, dessen Webseitenbesucher EU-Bürger sind, mit den Vorgaben der DSGVO auseinandersetzen.

Wenn die Verarbeitung personenbezogener Daten nicht notwendig ist, um bspw. einen Vertrag mit dem Betroffenen (z.B. deinem Kunden) zu erfüllen, benötigst du in den meisten Fällen eine Einwilligung. Diese Einwilligung ist immer zweckgebunden. Das bedeutet, dass du die Daten nur für den Zweck verarbeiten darfst, für den dir der Betroffene eine Einwilligung gegeben hat. Des Weiteren muss die Zustimmung immer freiwillig gegeben werden. Das bedeutet, dass du beim Einholen der Einwilligung keine vorausgefüllten Checkboxen verwenden darfst.

Erste Schritte zur DSGVO-Konformität deiner WordPress-Seite

Evaluiere zunächst, wann und wo auf deiner WordPress-Seite personenbezogene Daten verarbeitet werden. Besonders bei Plugins solltest du genauer hinsehen, denn oft wissen wir gar nicht, welche Daten von Drittanbietern im Hintergrund verarbeitet (z.B. an externe Server versendet) werden. Konfiguriere im nächsten Schritt deine Plugins so, dass diese DSGVO-konform sind. Viele Plugin-Autoren stellen dafür entsprechende Dokumentation bereit.

Einige WordPress-Plugins können nicht DSGVO-konform genutzt werden

Wenn du Plugins verwendest, die keine rechtskonformen Einstellungen zulassen, solltest du diese durch DSGVO-sichere Alternativen ersetzen. Das Anti-Spam-Plugins “Askismet” von Automattic versendet bspw. den Kommentartext und die IP-Adresse an externe US-Server und ist somit kritisch. Als Alternative bietet sich das Plugin “Antispam Bee” an. Wichtig ist hier, dass du die Einstellungen “Öffentliche Spamdatenbank berücksichtigen“ und „Kommentare nur in einer bestimmten Sprache zulassen” deaktivierst.

Ein weiteres kritisches Beispiel sind Erweiterungen für Social Media Share- und Like-Buttons. Die meisten Sharing-Dienste sind problematisch, da diese bereits Daten verarbeiten, wenn sich Besucher auf deiner Seite aufhalten. Bei der Recherche nach einem rechtskonformen Social Sharing-Plugin sind wir auf Sharrif Wrapper gestoßen. Dieses verarbeitet die Daten deiner Besucher erst, wenn sie einen Share-Button anklicken.

Welche Plugins du außerdem ersetzen solltest, um deine WordPress-Seite DSGVO-sicher zu machen, erfährst du in unserem Artikel über technische Maßnahmen zur DSGVO.

Was die DSGVO für dein (Online-)Unternehmen bedeutet

Mit der DSGVO kommen für dich als (Online-)Unternehmer einige Pflichten und To-Dos dazu, die du bis zum 25. Mai umsetzen solltest. Zum einen gibt es eine Dokumentations- und Rechenschaftspflicht. So musst du der Aufsichtsbehörde bspw. jederzeit nachweisen können, wie du die Vorgaben der DSGVO einhältst. Außerdem solltest du deine Datenschutzerklärung überprüfen und gegebenenfalls anpassen, damit diese DSGVO-konform ist. Glücklicherweise gibt es praktische Tools und Muster, die dich dabei unterstützen.

Wenn Dritte in deinem Auftrag Kundendaten verarbeiten (z.B. dein Hoster oder Software, die du für Kundenmanagement oder Marketing nutzt), musst du mit diesen Drittanbietern einen sogenannten Auftragsdatenverarbeitungsvertrag (ADV) abschließen. Weitere DSGVO-Anforderungen für WordPress-Agenturen, Freelancer und Webseitenbetreiber sowie eine praktische DSGVO-Checkliste, bekommst du in unserem kostenlosen DSGVO-Guide.

Wenn du weitere Fragen zum Thema Datenschutz und WordPress-Hosting hast, hinterlasse gerne einen Kommentar, sprich uns auf dem WordCamp an oder schreibe uns im Live-Chat auf raidboxes.de.