Die DSGVO (EU-Datenschutzgrundverordnung) wurde bekanntlich am 25. Mai 2018 voll wirksam. Der in dieser Verordnung geregelte Schutz personenbezogener Daten betrifft auch deine Homepage. Du fragst dich sicherlich: Ist meine WordPress-Seite DSGVO-konform? Wir zeigen dir, was du beachten musst, damit deine WordPress-Seite DSGVO-konform und damit rechtssicher läuft. Wir können für diese Angaben allerdings keine Garantie übernehmen, da wir keine Rechtsberatung sind. 

Es ist wichtig, dass du dich mit der Frage beschäftigst, ob deine Webseite DSGVO-konform ist. Dazu benötigst du eine fachmännische Rechtsberatung.

Eine Übersicht der relevanten Themen

  • Welche personenbezogenen Daten werden auf meiner Website erhoben und was passiert damit? (Personenbezogene Daten sind Daten, die z. B. bei Newsletter oder Formularen abgefragt werden. Für das Speichern und Verarbeiten von personenbezogenen Daten benötigt man einen guten Grund: zur Vertragserfüllung, eine Einwilligung oder ein „berechtigtes Interesse“.)
  • Wie lange werden die Daten gespeichert?
  • Sind meine Formulare korrekt? (keine unnötigen Pflichtfelder, keine voraktivierten Checkboxen, Hinweis zur Datenverwendung etc.)
  • Welche Online Marketing Tools, Scripts etc. werden verwendet? (Google Analytics, Facebook Pixel etc.)
  • Wie werden die Daten geschützt?
  • Wer hat Zugriff auf die personenbezogenen Daten? (sind Auftragsdatenvereinbarungen notwendig?)
  • Gibt es eine Datenschutzerklärung?

SSL/HTTPS Verschlüsselung

Mit SSL erfolgt eine Verschlüsselung aller Daten, die zwischen dem Browser der Website und dem Server des Providers (Hosting) hin und her geschickt werden. Dieses Verfahren etabliert sich zunehmend als Standard und wird auch in der Adresszeile des Browsers angezeigt.

Formulare

Bitte beachte bei Formularen (z.B. Kontaktformular, Formular zur Newsletter Anmeldung) folgende Punkte:

  • SSL / HTTPS Verschlüsselung ist bei Formularen Pflicht.
  • Beim Senden-Button des Formulars solltest du einen Hinweis auf die Verwendung der Daten oder einen Link zur Datenschutzerklärung geben.
  • Vermeide unnötige Pflichtfelder in einem Formular!
  • Check-Boxen dürfen nicht bereits angehakt sein.
  • Für den Versand von E-Mails benötigst du eine sogenannte TLS Verschlüsselung (verschlüsselt Daten, die vom Server weiter an den Empfänger geschickt werden).
  • Wenn Daten aus Formularen zusätzlich unter WordPress gespeichert werden, vermerke dies in der Datenschutzerklärung.

Newsletter

  • Newsletter dürfen nur an Personen versandt werden, die sich mit double-opt-in für den Newsletter angemeldet haben, Kunden und Kundinnen (für ähnliche und ergänzende Produkte), Personen, bei deren man anders nachweisen kann, dass sie den Newsletter beziehen wollen.
  • Kein Newsletter-Versand darf erfolgen an Personen, die in der ECG-Liste der Regulierungsbehörde für Telekommunikation und Rundfunk stehen („Blacklist“) .
  • Beim Senden-Button des Formulars sollte ein Link zur Datenschutzerklärung stehen.
  • Kopplungsverbot: Die Anmeldung zum Newsletter darf nicht zwangsweise mit anderen Handlungen auf der Webseite gekoppelt sein (mit Ausnahme von Freebies).
  • Bei jedem verschickten Newsletter muss die Möglichkeit der Austragung aus dem Newsletter-Verteiler vorhanden sein.
  • Binde folgende Informationen unbedingt in die Datenschutzerklärung ein: Widerrufsbelehrung, Umgang mit Daten aus der Newsletter Anmeldung, welche Möglichkeit bestehen sie löschen zu lassen, wird eine Analyse des Leseverhaltens durchgeführt oder nicht.
  • Falls ein Autoresponder eingesetzt wird sollte mit ihm ein Auftragsverarbeitungsvertrag abgeschlossen werden.
  • TLS Verschlüsselung (wie bei Formularen).

Google Analytics anonymisieren

Google Analytics analysiert das Verhalten der Besucher einer Webseite. Dabei erhebt Google auch die IP-Adresse der BesucherInnen – außer man „anonymisiert“ die IP Adresse über eine Einstellung, um es nicht mehr DSGVO relevant zu machen.

Beim Einsatz von Google Analytics ist Folgendes zu beachten: Anonymisierte IP Adresse (sonst Cookie Hinweis), Vertrag zur Auftragsdatenverarbeitung mit Google online abschließen, in die Datenschutzerklärung entsprechende Informationen aufnehmen, Opt-out- Möglichkeit anbieten.

Kontrollieren, ob ein Cookie Pop-up notwendig ist

Ein Cookie Pop-up ist ein Balken, der bei dem Besuch einer Webseite erscheint, um zu informieren, dass Daten des Besuchers gespeichert werden und seine Zustimmung notwendig ist.

Bei vielen Webseiten ist kein Cookie Pop-up notwendig, weil nur sogenannte Session-Cookies verwendet werden, die sofort wieder gelöscht werden, wenn der Browser geschlossen wird und die keine Daten an Dritte schicken. Das solltest du für deine (WordPress-) Seite auf jeden Fall prüfen.

Beispiele für die Verwendung von Cookies oder Scripts, die personenbezogene Daten an Dritte weitergeben, sind: Facebook Pixel, Google AdWords Remarketing (von Google eingeblendete Werbung auf einer Website), Restaurantreservierungen, Terminreservierungen, Chat, bestimmte Plugins, Youtube Video.

Welche Cookies auf einer Website gespeichert werden kann man mit Tools testen.

Was ist zu tun, wenn Cookies im Einsatz sind, die personenbezogene Daten an Dritte weitergeben?

  • Cookie Pop-up Banner installieren
  • Hinweis in der Datenschutzerklärung anbringen
  • Vereinbarung mit außereuropäischen Firmen, dass sie die DSGVO Regelungen einhalten („Privacy Shield“)

Einbindung von Inhalten von Dritten

Bei Anzeige von Google Maps, Verwendung von Google Fonts und anderen Inhalten und Services, die nicht selbst erstellt werden, sondern mit Code in die eigene Website eingebunden werden, wird immer die IP-Adresse des Website-Besuchers an den Anbieter mitgesendet, da dieser sonst die Inhalte nicht für die eigene Website zurückschicken kann. Somit gehören auch solche Inhalte in die Datenschutzerklärung aufgenommen.

Gravatare binden Fotos für Kommentare ein. Das kann entweder in den Einstellungen >Diskussion deaktiviert werden oder mit einem Plugin wie Avatar Privacy auf ein Opt-in reduziert werden. Auf jeden Fall ist auch hier ein Text in die Datenschutzerklärung aufzunehmen.

Erstelle professionelle WordPress-Webseiten

kinderleicht und ohne Vorkenntnisse
Mehr erfahren »

Impressum

Das Impressum muss von jeder Webseite aus zugänglich sein. Außerdem muss es den genannten gesetzlichen Anforderungen entsprechen (Übersicht bei der WKO, ECG-Service), damit deine WordPress-Seite DSGVO-konform läuft.

Technischer Datenschutz

Kontrollieren und dokumentieren von technischen Datenschutzmaßnahmen ist unabdingbar. Beantworte dir folgende Fragen bzw. beachte folgende Punkte:

  • Wo und wie lange werden Backups gespeichert?
  • SSL / HTTPS Verschlüsselung (siehe oben)
  • TLS Verschlüsselung
  • Regelmäßige Updates von WordPress, Templates und Plugins
  • Berechtigungen vergeben wenn personenbezogene Daten in WordPress gespeichert werden („Privacy by Design“)

Wer hat Zugriff auf die personenbezogenen Daten?

Manchen Zugriff auf personenbezogene Daten kannst du als Webseiten-Inhaber verhindern (siehe oben), wohingegen der Zugriff bei bestimmten Personengruppen jedoch Teil der gewünschten Arbeit ist. Für diese braucht es Vereinbarungen, damit die Daten rechtssicher an Dritte weitergegeben werden können (wie z. B. eine Vereinbarung zur Auftragsdatenverarbeitung mit dem Hosting-Provider).

Datenschutzerklärung

Neben dem Impressum muss seit spätestens dem 25. Mai 2018 auch die Datenschutzerklärung auf jeder Website zu finden sein. Für die Erstellung der Datenschutzerklärung gibt es mehrere Möglichkeiten:

  • einen Rechtsanwalt beauftragen
  • das WKO Muster anpassen. Viele Fachgruppen haben eigene Vorlagen erstellt, z.B. für den Handel.
  • Muster der deutschen Gesellschaft für Datenschutz anpassen: https://dsgvo-muster-datenschutzerklaerung.dg-datenschutz.de/
  • Datenschutzgenerator von Dr. Schwenke für Blogger, Privatpersonen und Kleinunternehmen nutzen.
  • WordPress stellt im Backend ab Version 4.9.6 ebenfalls Textvorschläge für die Datenschutzerklärung zur Verfügung: Einstellungen > Datenschutz > Link „Sehen Sie sich unseren Leitfaden an“.

Mit unseren Tipps sollte deine WordPress-Seite DSGVO-konform sein. Um sicher zu gehen, dass deine WordPress-Seite 100 % DSGVO-konform ist, suche bitte einen Rechtsanwalt auf.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen