Die neue Datenschutzgesetzverordnung ist da und viele Agenturen müssen Websiten Ihrer Kunden an die neuen Standards anpassen. Wir listen die wichtigsten Punkte auf, die für die neuen Anforderungen unbedingt angepasst werden müssen. Bitte beachten Sie, dass dieser Artikel keine juristische Beratung ist.

SSL

Hosting

Datenschutzerklärung

Cookies

Kontaktformulare

Kommentare

Google Analytics

WordPress Update

Drittanbieter

SSL Verschlüsselung

Sobald personenbezogene Daten über Kontaktformulare, Kommentarfelder oder ähnliches übertragen werden, ist eine SSL Verschlüsselung zwingend notwendig. Bei den meisten Hostinganbietern kann man das Zertifikat kostenlos erhalten, in jedem Fall aber zum Hostingpaket kaufen. Ob Ihre Seite per SSL verschlüsselt wird, erkennen Sie daran, dass die URL per https:// aufgerufen wird und sich ein grünes Schloss vor der URL befindet. Bei der Umstellung sollten Sie beachten, dass alle URLs mit HTTP per 301 Weiterleitung auf HTTPS umgeleitet werden. Dies lässt sich z.B. in der .htaccess-Datei mit folgendem Code lösen:

RewriteEngine On 
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Oft kann man auch im Adminportal des Hostinganbieters eine HTTPS-Erzwingung aktivieren, womit die Weiterleitung automatisch eingerichtet wird.


Hosting

Bei Ihrem Hostinganbieter landen nicht nur die Dateien Ihrer Website, sondern auch sensible Daten wie Zugriffe, Kontaktdaten oder versendete Mails. Deshalb sollten Sie unbedingt einen Auftragsverarbeitungsvertrag (AV) mit Ihrem Hostinganbieter abschließen. Die meisten Hostinganbieter haben bereits Vorlagen dafür und können Ihnen diese zusenden.


Datenschutzerklärung

Die Datenschutzerklärung sollte jederzeit auf der Website erreichbar sein. Am besten platzieren Sie sie direkt in der Fußzeile. Je nach den individuellen Gegebenheiten, sollten Sie Ihre Datenschutzerklärung inhaltlich anpassen. Für eine vollkommen rechtssichere Datenschutzerklärung kontaktieren Sie einen Anwalt, der mit Ihnen gemeinsam diese Erklärung aufsetzt. Alternativ bieten sich Online-Generatoren an:


Cookies

Cookies sind kleine Textdateien, die im Browser gespeichert werden. Dadurch kann z.B. nachvollzogen werden, welche Websiten ein Nutzer besucht hat. Diese gewonnenen Daten werden für die Platzierung von Werbung oder Traffic-Analysen genutzt. Generell gilt: Setzen Sie nur die Cookies ein, die wirklich notwendig sind. Bei einem Shop kann dies z.B. ein Session-Cookie für den Warenkorb sein.

Laut neuer DSGVO muss es einen Hinweis auf Cookies, Tracking und Widerspruchsmöglichkeit geben. Das sollte unbedingt in der Datenschutzerklärung erfolgen. Ebenso sollte ein Cookie-Hinweis, welcher direkt beim Betreten der Seite erscheint, integriert werden. Dieser darf jedoch nicht das Impressum überdecken.

Cookie-Hinweis – WordPress & DSGVO

Für die Umsetzung eines solchen Hinweises gibt es unterschiedliche Plugins für Wordpress:


Kontaktformulare

Bei Kontaktformularen empfehlen wir, sich die Erlaubnis zur Verwendung der Formulardaten einzuholen. Dies kann/sollte über eine Checkbox mit einem kurzen Erklärtext am Ende des Formulars erfolgen. Der Text könnte zum Beispiel lauten:

Mit dem Absenden Ihrer Anfrage erklären Sie sich mit der Verarbeitung Ihrer angegebenen Daten zum Zweck der Bearbeitung Ihrer Anfrage und unserer Datenschutzerklärung und Widerrufshinweise einverstanden.

Verwenden Sie viele Formulare mittels Contact Form 7 oder Gravity Forms, können Sie mit dem Plugin WP GDPR Compliance diese Checkbox mit einem Klick für alle Formulare einrichten.

Gehen Sie mit Pflichtfeldern sparsam um. Laut der neuen DSGVO, beziehungsweise auch schon im vorherigen BDSG, dürfen personenbezogenen Daten nur dem Zweck angemessen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt, erfasst werden. Deshalb sollten Sie in Kontaktformularen nur so viele personenbezogene Daten erheben, wie wirklich notwendig. Diese sollten als Pflichtfelder markiert werden. Bei allen anderen Angaben ist es wichtig klarzustellen, dass es sich nicht um Pflichtangaben handelt.


Kommentare

Genauso wie beim Kontaktformular, sollte der Nutzer auch bei den Kommentaren seine Zustimmung per Checkbox erklären. Dies lässt sich ebenfalls sehr einfach mit dem oben genannten Plugin WP GDPR Compliance lösen. Zusätzlich sollte ein Double-Opt-In-Verfahren eingeführt werden, wenn Nutzer sich eine Benachrichtigung per E-Mail über Antworten oder weitere Kommentare zusenden lassen möchte. Auch hierfür gibt es ein geeignetes Plugin: Subscribe to Double-Opt-In Comments.

Ein stark umstrittenes Thema ist die Speicherung von IP-Adressen zu den Kommentaren in der Datenbank mittels Wordpress. IP-Adressen sind personenbezogene Daten, deren Speicherung eigentlich vermieden werden soll. Doch warum speichert Wordpress die IP-Adressen in der Datenbank? Zum einen ermöglicht es eine strafrechtliche Nachverfolgung bei beleidigenden Kommentaren und zum anderen kann der Website-Besitzer so unerwünschte Kommentare zu blockieren. Um einen rechtlichen Konflikt zu vermeiden, sollten Sie die Speicherung der IP-Adresse unterbinden. Hierfür können Sie folgenden Code in die functions.php einfügen:

function wpb_remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Alternativ können Sie auch das Plugin Remove IP installieren. Sie müssen es lediglich aktivieren und schon werden die IP-Adressen nicht mehr gespeichert. Alte IP-Adressen befinden sich dennoch in der Datenbank und müssen über ein MySQL Query:

UPDATE 'wp_comments' SET 'comment_author_IP' = '';

gelöscht werden.


Google Analytics

Nutzen Sie Google Analytics, sollten Sie eine Auftragsverarbeitung mit Google abschließen und im Analytics Konto dem “Zusatz zur Datenverarbeitung” zustimmen. Zwingend notwendig ist es, die IP-Anonymisierung zu aktivieren. Hierbei wird die IP-Adresse des Nutzers gekürzt und somit anonymisiert.

Universal Analytics

Dafür muss folgender Code zum Analytics-Code hinzugefügt werden:

ga('set', 'anonymizeIp', true);

ga.js

Bei ga.js muss folgender Code ergänzt werden:

gtag('config', 'UA-XXXXXXXX-X');
gtag('config', 'UA-XXXXXXXX-X', { 'anonymize_ip': true });

Google Tag Manager

Im Google-Analytics-Tag muss unter „Weitere Einstellungen“ > „Festzulegende Felder“ das Feld anonymizeIp mit dem Wert „true“ eingetragen werden.

Google Tag Manager – DSGVO & WordPress

Zusätzlich muss ein Google Analytics Opt-Out integriert und in der Datenschutzerklärung eingebunden werden. Je nach Art der Einbindung von Google Analytics muss ein zusätzliches Skript auf der Seite hinterlegt werden, welches das Opt-Out-Verfahren per Klick auf den entsprechenden Link auslöst. Vor allem weil es bisher nur ein Google Browser-Addon für Desktop-Clients gibt und mobile Nutzer keine Möglichkeit haben, Tracking zu unterbinden, ist das Opt-Out-Verfahren wichtig.


Update Wordpress

Ein Update auf die aktuelle Version von Wordpress 4.9.6 ist sehr empfehlenswert, da es bereits einige DSGVO-Probleme löst. Folgende Neuerungen wurden integriert:

  • Kommentare mit Checkbox: Unter dem Kommentarfeld wird automatisch eine Checkbox gesetzt, welche der Nutzer optional anklicken kann und somit zur Speicherung seiner Daten zustimmt. Sollte die Checkbox nicht aktiviert worden sein, werden auch keine Daten gespeichert. Es kann sein, dass bei einigen Themes diese Checkbox nicht automatisch angezeigt wird. Hier muss der Hersteller bzw. der Programmierer sich darum kümmern, dass der Code angepasst wird.
  • Native Datenschutzseite: Im Wordpress Backend unter Einstellungen befindet sich ein weiterer Menüpunkt „Datenschutz“. Sie können wählen zwischen „neuer Datenschutzseite erstellen“ oder eine vorhandene Seite auswählen. Bei einer neuen Seite wird diese mit einem Standardtext gefüllt, welcher je nach Gegebenheiten angepasst werden muss. Themes & Plugins, die personenbezogene Daten speichern, können nun mittels einer Funktion Texte vorschlagen, die in der Datenschutzerklärung mit aufgenommen werden sollten. Jedoch nur, wenn die Themes & Plugins diese Funktion nutzen.
  • Löschen personenbezogener Daten: Äußert ein Nutzer den Wunsch, dass alle seine Daten gelöscht werden sollen, kann dies mit dem neuen Werkzeug „personenbezogene Daten löschen“ durchgeführt werden. Hierzu gibt man lediglich die E-Mail-Adresse des Nutzers an und es wird eine E-Mail an den Benutzer gesendet mit einem Link zur Aktivierung der Löschung.
  • Export personenbezogener Daten: Dieses Werkzeug ist notwendig für das „Recht auf Datenauskunft“. Jeder hat das Recht, Auskunft über die bisher über die Person gespeicherten Daten zu verlangen. Ähnlich wie beim „Löschen personenbezogener Daten“ wird der Nutzer auch hier über die E-Mail identifiziert und erhält eine Bestätigungsmail.

Services von Drittanbietern: Gravatar, Google Webfonts und Google Maps

Viele Drittanbieter stellen Verbindungen zu Ihren eigenen Servern her und erhalten somit Daten von Ihren Nutzern. Explizit für Wordpress möchten wir kurz auf das Thema Gravatar, Google Webfonts und Google Maps eingehen.

Gravatar

Bei Blogkommentaren werden oft Bilder der Nutzer angezeigt. Diese stammen von gravatar.com. Nutzer können sich dort mit einer E-Mail-Adresse registrieren und ein Bild hinterlegen. Schreibt dieser Nutzer nun einen Kommentar auf einem Blog mit dieser E-Mail-Adresse, stellt Wordpress automatisch eine Verbindung zu gravatar.com her und zeigt das entsprechende Bild an. Auch hier findet ein Austausch von Daten statt. Aktuell arbeitet Wordpress an einer Lösung. Vorübergehend lassen sich im Wordpress Backend unter Einstellungen > Diskussionen (ganz unten) Gravatare auch deaktivieren. Eine Alternative ist das Plugin Avatar Privacy welches den Nutzer um Erlaubnis bittet, Gravatare zu benutzen.

Google Webfonts

Beim Aufruf von Google Webfonts wird eine Verbindung zum Google Font-Server hergestellt und dabei die IP-Adresse des Nutzers übertragen. Abschaffen kann man dieses Problem, indem man die Schriften lokal speichert und einbindet. Hier sollten jedoch die jeweiligen Lizenzbedingungen berücksichtigt werden.

Google Maps

Auch beim Aufruf von Google Maps wird eine Verbindung zum Google Server hergestellt und dabei die IP-Adresse des Nutzers übertragen. Hier sollte ein Opt-In-Verfahren in Betracht gezogen werden, indem der Nutzer bestätigt, dass er die Map (das gleiche gilt auch für Youtube-Videos o.ä.) angezeigt bekommen möchte und sich bewusst ist, dass hierbei Daten übertragen werden. Aktuell gibt es für Wordpress das kostenpflichtige Plugin Borlabs Cookie über welches man einfach dieses Verfahren integrieren kann.

Dies ist nur ein kleiner Teil von Drittanbieter Services, die auf einer Website genutzt werden. Auch Share Buttons und Social Boxes müssen zwecks der neuen DSGVO konform eingebunden oder ganz entfernt werden.


Fazit

Dieser Artikel umfasst nur einen Teil, der umzusetzenden Maßnahmen, um der DSGVO gerecht zu werden. Wichtig ist ebenfalls, alle eingesetzten Plugins zu kontrollieren: Werden personenbezogene Daten gespeichert? Verwendet das Plugin Cookies oder stellt Verbindungen zu Drittanbietern her?

Als Nicht-Juristin ist die praktische Umsetzung oft schwierig, zumal viele Punkte noch stark diskutiert werden und nicht zu 100 Prozent klar sind. Es bleibt abzuwarten, was noch alles ans Licht kommt bzw. werden die ersten Urteile sicherlich als Präzedenzfälle für die Umsetzung herangezogen. Dennoch ist ein stärkeres Schützen von personenbezogenen Daten absolut unterstützenswert.