Laptop von oben

WordPress und DSGVO – ist das vereinbar?

WordPress ist als CMS ausgesprochen beliebt, vom Hobby-Blogger bis zum Unternehmen setzen viele für ihren Online-Auftritt auf das Tool. Sie alle müssen sich seit dem 25. Mai 2018 an die Vorgaben der EU-Datenschutz-Grundverordnung halten. Da stellt sich natürlich die Frage: Was muss ich als WordPress-Nutzer beachten, um die Vorgaben der DSGVO zu erfüllen?

Seit Mai 2018 gelten EU-weit neue Regelungen zum Thema Datenschutz für Unternehmen und Webseitenbetreiber. In Deutschland greift eine der härtesten Umsetzungen der Regelungen der Datenschutzgrundverordnung (DSGVO). Deshalb ist es auch als WordPress-Nutzer von großer Wichtigkeit, Webseite und Installation zu prüfen und sein WordPress DSGVO konform zu machen.

DSGVO bei WordPress – wer muss handeln?

Bei Vielen herrscht große Unsicherheit beim Thema WordPress und DSGVO. Denn die Verordnung betrifft nicht nur professionelle Webseitenbetreiber, sondern auch schon den einfachen Hobby-Blogger. Schließlich gilt die Verordnung für alle in der EU lokalisierten Unternehmen, ebenso wie für Freiberufler und Unternehmen, die zwar außerhalb der Europäischen Union sitzen, aber die Daten von EU-Bürgern verarbeiten.

Um den neuen Regeln Folge zu leisten, gibt es verschiedene Möglichkeiten. Da es für die Umsetzung bisher kein DSGVO-WordPress-Plugin an sich gibt, müssen verschiedene Teilschritte vorgenommen werden. WordPress und DSGVO schließen sich also nicht grundsätzlich aus.

Wie gestalte ich WordPress datenschutzkonform?

Kurz gesagt fordert die neue Datenschutzgrundverordnung von Webseitenbetreibern

  • den rechtmäßigen, zweckgebundenen und sachlich richtigen Umgang mit personenbezogenen Daten Dritter

  • eine ausführliche, eindeutige und leicht auffindbare Aufklärung über die Verarbeitung der personenbezogenen Daten (Datenschutzerklärung)

  • den jederzeitigen Nachweis über den konformen Umgang mit diesen sensiblen Daten nach den Regelungen der DSGVO.

Für WordPress-Nutzer bedeutet das konkret Folgendes:

  • WordPress-Installation, -Theme und -Plugins sollten durch regelmäßige Updates stets auf dem aktuellsten Stand gehalten werden. So können Sicherheitslücken schnell geschlossen werden.

  • Die WordPress-Seite muss SSL-verschlüsselt sein.

  • Beim Absenden von Kontaktformularen und Kaufvorgängen jeder Art muss der Schutz der eingegebenen Daten sichergestellt sein. Das erfolgt ebenfalls durch das Einrichten eines SSL-Zertifikats. Damit werden die Daten sicher verschlüsselt übertragen. SSL-Zertifikate können, meist kostenlos, beim Provider der Webseite eingerichtet werden.

  • Auch die Funktion, bei WordPress Kommentare zu hinterlassen, muss der DSGVO entsprechen. Da sich die Besucher zum Kommentieren mit einem Account einloggen müssen und meist auch die IP-Adresse gespeichert wird, sind die meisten Kommentarfunktionen für WordPress nicht länger datenschutzkonform. Abhilfe schafft beispielsweise Gravatar, ein automatisch in der Webanwendung integrierter Service, der eine Verbindung zum Account hergestellt und der Anonymität dient.

  • Impressum und Datenschutzerklärung müssen nicht nur bestimmte Informationen enthalten, sie müssen darüber hinaus von jedem Ort der Webseite aus einfach erreichbar sein.

  • Das Impressum sollte also unbedingt sämtliche Informationen des Webseitenbetreibers enthalten, sowie eine ladungsfähige Adresse. Die Datenschutzerklärung sollte detailliert über den Einsatz aller Plugins informieren, die Daten verarbeiten, und am besten im Footer oder Header der Webseite verlinkt werden. DSGVO-relevante WordPress-Plugins sind zum Beispiel Google Analytics, Woo Commerce, Gravity oder JetPack.

WordPress, DSGVO & Plugins

Der wichtigste Punkt, um WordPress DSGVO-konform zu machen, ist die Anpassung von Plugins. Ersetzen Sie etwa Plugins, die personenbezogene Daten – zumeist IP-Adressen – zu Servern in Drittländern weiterleiten. Hier sind JetPack, MailChimp (Newsletter), Akismet (Anti-Spam) und iThemes Security (Website-Schutz) verbreitete Beispiele.

Anonymisieren Sie außerdem die IP-Adressen der Nutzer in Analysetools wie Google Analytics, eTracker oder Piwik und erstellen Sie zudem einen Hinweis über deren Nutzung und eine Abmeldemöglichkeit für den Webseiten-Besucher.

Darüber hinaus muss die Anmeldung zum Newsletter eine Aufklärung über die Verarbeitung der Daten enthalten. Ergänzen Sie eine passende Klausel in der Anmeldemaske.

Ein eigenes WordPress-DSGVO-Plugin existiert bisher nicht. Für den Datenschutzhinweis kann aber beispielsweise unser Datenschutzerklärungs-Generator verwendet werden. Als Alternative zu einem WordPress-Datenschutz-Plugin bieten sich außerdem folgende Programme an, die allesamt bisher keine personenbezogenen Daten erheben:

  • Statify – verarbeitet, versendet und speichert keine persönlichen Daten außerhalb der Webseite
  • WP User Avatar – für gesetzeskonforme Avatare
  • Antispam Bee – filtert Spam-Kommentare DSGVO konform heraus

WordPress und DSGVO zu vereinen, wirkt auf den ersten Blick kompliziert – mit ein paar Kniffen kann man seine Seite jedoch auch ohne ein spezielles Plugin regelkonform gestalten.

Artikel veröffentlicht am: 22. August 2018

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr