Seit Mai 2018 gelten EU-weit neue Regelungen zum Thema Datenschutz für Unternehmen und Webseitenbetreiber. In Deutschland greift eine der härtesten Umsetzungen der Regelungen der Datenschutzgrundverordnung (DSGVO). Deshalb ist es auch als WordPress-Nutzer von großer Wichtigkeit, Webseite und Installation zu prüfen und sein WordPress DSGVO konform zu machen.
DSGVO bei WordPress – wer muss handeln?
Bei Vielen herrscht große Unsicherheit beim Thema WordPress und DSGVO. Denn die Verordnung betrifft nicht nur professionelle Webseitenbetreiber, sondern auch schon den einfachen Hobby-Blogger. Schließlich gilt die Verordnung für alle in der EU lokalisierten Unternehmen, ebenso wie für Freiberufler und Unternehmen, die zwar außerhalb der Europäischen Union sitzen, aber die Daten von EU-Bürgern verarbeiten.
Um den neuen Regeln Folge zu leisten, gibt es verschiedene Möglichkeiten. Da es für die Umsetzung bisher kein DSGVO-WordPress-Plugin an sich gibt, müssen verschiedene Teilschritte vorgenommen werden. WordPress und DSGVO schließen sich also nicht grundsätzlich aus.
Wie gestalte ich WordPress datenschutzkonform?
Kurz gesagt fordert die neue Datenschutzgrundverordnung von Webseitenbetreibern
den rechtmäßigen, zweckgebundenen und sachlich richtigen Umgang mit personenbezogenen Daten Dritter
eine ausführliche, eindeutige und leicht auffindbare Aufklärung über die Verarbeitung der personenbezogenen Daten (Datenschutzerklärung)
den jederzeitigen Nachweis über den konformen Umgang mit diesen sensiblen Daten nach den Regelungen der DSGVO.
Für WordPress-Nutzer bedeutet das konkret Folgendes:
WordPress-Installation, -Theme und -Plugins sollten durch regelmäßige Updates stets auf dem aktuellsten Stand gehalten werden. So können Sicherheitslücken schnell geschlossen werden.
Die WordPress-Seite muss SSL-verschlüsselt sein.
Beim Absenden von Kontaktformularen und Kaufvorgängen jeder Art muss der Schutz der eingegebenen Daten sichergestellt sein. Das erfolgt ebenfalls durch das Einrichten eines SSL-Zertifikats. Damit werden die Daten sicher verschlüsselt übertragen. SSL-Zertifikate können, meist kostenlos, beim Provider der Webseite eingerichtet werden.
Auch die Funktion, bei WordPress Kommentare zu hinterlassen, muss der DSGVO entsprechen. Da sich die Besucher zum Kommentieren mit einem Account einloggen müssen und meist auch die IP-Adresse gespeichert wird, sind die meisten Kommentarfunktionen für WordPress nicht länger datenschutzkonform. Abhilfe schafft beispielsweise Gravatar, ein automatisch in der Webanwendung integrierter Service, der eine Verbindung zum Account hergestellt und der Anonymität dient.
Impressum und Datenschutzerklärung müssen nicht nur bestimmte Informationen enthalten, sie müssen darüber hinaus von jedem Ort der Webseite aus einfach erreichbar sein.
Das Impressum sollte also unbedingt sämtliche Informationen des Webseitenbetreibers enthalten, sowie eine ladungsfähige Adresse. Die Datenschutzerklärung sollte detailliert über den Einsatz aller Plugins informieren, die Daten verarbeiten, und am besten im Footer oder Header der Webseite verlinkt werden. DSGVO-relevante WordPress-Plugins sind zum Beispiel Google Analytics, Woo Commerce, Gravity oder JetPack.
WordPress, DSGVO & Plugins
Der wichtigste Punkt, um WordPress DSGVO-konform zu machen, ist die Anpassung von Plugins. Ersetzen Sie etwa Plugins, die personenbezogene Daten – zumeist IP-Adressen – zu Servern in Drittländern weiterleiten. Hier sind JetPack, MailChimp (Newsletter), Akismet (Anti-Spam) und iThemes Security (Website-Schutz) verbreitete Beispiele.
Anonymisieren Sie außerdem die IP-Adressen der Nutzer in Analysetools wie Google Analytics, eTracker oder Piwik und erstellen Sie zudem einen Hinweis über deren Nutzung und eine Abmeldemöglichkeit für den Webseiten-Besucher.
Darüber hinaus muss die Anmeldung zum Newsletter eine Aufklärung über die Verarbeitung der Daten enthalten. Ergänzen Sie eine passende Klausel in der Anmeldemaske.
Ein eigenes WordPress-DSGVO-Plugin existiert bisher nicht. Für den Datenschutzhinweis kann aber beispielsweise unser Datenschutzerklärungs-Generator verwendet werden. Als Alternative zu einem WordPress-Datenschutz-Plugin bieten sich außerdem folgende Programme an, die allesamt bisher keine personenbezogenen Daten erheben:
- Statify – verarbeitet, versendet und speichert keine persönlichen Daten außerhalb der Webseite
- WP User Avatar – für gesetzeskonforme Avatare
- Antispam Bee – filtert Spam-Kommentare DSGVO konform heraus
WordPress und DSGVO zu vereinen, wirkt auf den ersten Blick kompliziert – mit ein paar Kniffen kann man seine Seite jedoch auch ohne ein spezielles Plugin regelkonform gestalten.
Artikel veröffentlicht am: 22. August 2018