Die DSGVO-konforme WordPress Website
Hinweis: Wir sind keine Juristen und dieser Blogbeitrag ist keine Rechtsberatung und kann eine solche nicht ersetzen. Bitte wenden Sie sich im Zweifelsfall immer an einen Rechtsanwalt.
Seit Mai 2018 ist die Datenschutzgrundverordnung DSGVO nun schon in Kraft. Und nach wie vor sind die viele Unternehmer*innen weit davon entfernt Ihre Website DSGVO-konform zu konfigurieren und zu betreiben. Eine hundertprozentige DSGVO-Konformität zu erreichen ist derzeit wirklich schwierig. Wir setzen uns jedoch konstant mit der DSGVO und deren Anforderungen auseinander. Für Unternehmer*innen, die eine WordPress Website besitzen, und die das Risiko von Beschwerden minimieren möchten, haben wir nachfolgend die wichtigsten Informationen zusammengetragen.
Grundlegende Informationen zur DSGVO
Die DSGVO gilt für alle in der EU ansässigen Unternehmen. Dabei gilt sie unabhängig von deren Größe, also auch beispielsweise für Freiberufler. Ebenfalls betroffen sind Unternehmen außerhalb der EU, die innerhalb der EU eine Niederlassung haben oder personenbezogene Daten von EU-Bürgern verarbeiten.
Ein wichtiges Ziel der DSGVO: der Schutz von Daten
Ein wichtiges Ziel der Datenschutz-Grundverordnung ist die einheitliche Regelung der Verarbeitung von personenbezogenen Daten. Zu diesen Daten zählen:
- Vor- und Nachname
- Anschrift
- E-Mail-Adresse
- Telefonnummer
- Geburtsdatum
- Kontodaten
- Standortinformation
- IP-Adresse
Notwendige Maßnahmen für Unternehmen
Laut DSGVO müssen Sie als Unternehmer*in nun „geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ – in Bezug auf die von Ihnen verarbeiteten personenbezogenen Daten. Das bedeutet konkret?
Die eindeutig formulierten Forderungen der DSGVO lauten:
- Die eingesetzten technischen Systeme und Dienste müssen auf Sicherheit, Integrität und Zuverlässigkeit geprüft werden.
- Sollte es einen Ausfall von technischen Systemen geben, müssen Daten und Zugänge schnell wiederherstellbar sein.
- Inzwischen Pflicht: Personenbezogene Daten müssen pseudonymisiert und verschlüsselt werden.
- Alle getroffenen Maßnahmen, technischer und organisatorischer Art, müssen dokumentiert sein und hierzu jederzeit Nachweise erbracht werden können – auch hinsichtlich der Auftragsdatenverarbeitung mit Providern oder anderen Dienstleistern.
Generell gilt, dass Transparenz und Rechtmäßigkeit bei der Datenverarbeitung gemäß den Grundsätzen der DSGVO vorliegen muss. Für die betroffene Person muss der Zweck der der Verarbeitung klar, nachvollziehbar und eindeutig sein.
Alle Nachweise zu den von Ihnen vorgenommenen Datenschutz-Maßnahmen müssen Sie auf Anfrage mit Nachweis den dafür zuständigen Aufsichtsbehörden vorlegen können. Dafür notwendig: ein Verzeichnis von Verarbeitungstätigkeiten, in dem Sie den Umgang mit personenbezogenen Daten in Ihrem Unternehmen dokumentieren. Übrigens: Von der Pflicht ein Verarbeitungsverzeichnis zu führen, sind nur einige wenige Unternehmen (mit weniger als 250 Mitarbeitern) und nur unter bestimmten Bedingungen ausgeschlossen – denn die meisten Firmen verarbeiten nun einmal regelmäßig Kunden- oder Beschäftigtendaten.
Datenverarbeitung bedarf der Zustimmung
Die betroffene Person, deren Daten verarbeitet werden, muss in die Datenverarbeitung zustimmen. Das heißt, als Unternehmen müssen Sie die Zustimmung erst einholen. Der Person kommt darüberhinaus das Recht zu, jederzeit Auskunft über die Art und den Inhalt der Datenverarbeitung zu erhalten. Außerdem hat sie das Recht auf Löschung dieser Daten. Bei einem Ausfall technischer Systeme oder anderen „Datenpannen“, zum Beispiel eine gehackte Website, müssen Sie binnen 72 Stunden die zuständige Aufsichtsbehörde benachrichtigen.
Was bedeutet das nun für meine Firmen-Website?
Kurz zusammengefasst sind vor allem zwei Punkte bei der Website potenziell im Fokus der DSGVO:
- Speicherung personenbezogener Daten
- Übertragung personenbezogener Daten an Dritte
Letzteres findet bereits statt, wenn Website-Besitzer Google Analytics zur Analyse des Besucherverhaltens auf der Website einsetzen, aber auch, wenn sie Inhalte von Plattformen wie unter anderem Facebook, YouTube oder Musik-Streaming-Diensten in ihre Website einbetten.
Muss das wirklich alles sein… ?
Momentan herrscht an vielen Stellen Unklarheit – bei Unternehmern wir auch Website-Betreibern und Agenturen. Kein Wunder: selbst Fachjuristen sind sich zum jetzigen Zeitpunkt in vielen Fragen noch uneinig, klare Handlungsempfehlungen liegen derzeit noch nicht vor. Es empfiehlt sich, das Risiko von Beschwerden bzw. Abmahnungen klein zu halten und die folgenden Punkte beim Aufsetzen und Betreiben der Website zu berücksichtigen.
Konkrete Maßnahmen für DSGVO-konforme Websites
Es gilt nun – allerdings nicht erst seit der DSGVO – einige Maßnahmen zu ergreifen, wenn Sie Abmahnungen entgehen wollen. Anbei beschreiben wir die wichtigsten Schritte im Detail und geben Ihnen Informationen zu den empfehlenswerten Umsetzungen für Ihre WordPress Website an die Hand.
Abmahngefahr bei Analyse-Tools und sozialen Medien
IP-Adressen der Website-Besucher müssen anonymisiert werden. Hierzu gibt es verschiedene Anleitungen im Internet, wie zum Beispiel diese hier: elbnetz.de. Außerdem seit Juli 2019 durch ein EuGH-Urteil zu berücksichtigen: Tracking-Tools wie Google Analytics dürfen ausschließlich dann verwendet werden, wenn die Nutzer der Analyse ausdrücklich zustimmen (sogenanntes Opt-in-Verfahren). Dies gilt auch für Facebook- oder andere soziale Like Buttons.
Sichere verschlüsselte Datenabfrage im Kontaktformular
Nicht neu, dennoch unbedingt notwendig ist eine sichere Datenverschlüsselung bei der Abfrage von Daten über ein Kontaktformular oder einem Einkauf in einem Online-Shop. Dies ist kein Aufwand und leicht zu realisieren: per SSL-Zertifikat, welches Sie von Ihrem Hosting-Provider erhalten (teilweise ist dies schon ohne Aufpreis im Hosting-Paket enthalten). Das ermöglicht die sichere Datenübertragung via https und schützt Sie und Ihre Websitebesucher vor Datendiebstahl durch Dritte. Denn von der E-Mail-Adresse über eine Bankverbindung bis hin zum Namen werden über diesen digitalen Wege personenbezogene Informationen übertragen, die geschützt werden müssen.
Personenbezogene Daten werden außerdem übertragen bei:
- Eintragung in einen Newsletter
- Nutzung von Werbe-Netzwerken
- Verwendung eines Login-Bereichs für Kunden
- Ermöglichen von Kommentaren bei Blog-Beiträgen
- Verwendung der oben erwähnten Social-Media-Plug-ins
DSGVO-konforme WordPress Plugins
Unbedingt sinnvoll ist eine Überprüfung der verwendeten WordPress Plugins. Hierzu gibt es inzwischen gute Nachschlageseiten, welche die meistgenutzten WordPress Plugins unter die Lupe nehmen und auch Vorschläge zu den Einstellungen im Plugin an die Hand geben.
WordPress Plugins und Themes aktuell halten
Ihr WordPress, die Plug-ins und das verwendete Theme sollten immer auf neuestem Stand sein. Sorgen Sie anhand regelmäßiger Aktualisierungen dafür, dass Hacker Sicherheitslücken in veralteter Software finden und ausnutzen. Auch die eingesetzte Technik auf dem Server (PHP, MySQL, Linux, Apache) beim Provider sollte aktuell sein.
Haben Sie weitere Fragen zum Thema DSGVO-konforme Umsetzung der Website? Kontaktieren Sie uns gerne.
Fazit
Wir empfehlen möglichst zeitnah zu reagieren und die eigene Website nach dem aktuellen Stand des Wissens vorzubereiten und Sicherheitslücken zu schließen. Nicht nur, weil erste Abmahnungen bereits erfolgt sind, sondern weil es auch von Professionalität zeugt, die eigene Firmenwebsite stets auf neustem Stand zu halten – auch was die DSGVO angeht.
Übrigens: eine wirklich sehr übersichtliche FAQ zum Thema Datenschutz und den aktuellen Stand der momentan laufenden Datenschutzkontrollen finden Sie hier: lda.bayern.de