Tipps für den DSGVO-konformen Einsatz von WordPress
Mit dem Inkrafttreten der Europäischen Datenschutzgrundverordnung (EU-DSGVO) am 25. Mai 2018 hat sich für Webseitenbetreiber vieles verändert. Die DSGVO schafft einen europaweit einheitlichen Standard zum Schutz personenbezogener Daten. Im Übrigen ist DSGVO synonym zu verwenden mit GDPR (General Data Protection Regulation), der Abkürzung des englischen Fachbegriffs für die europäische Regelung.
Webseitenbetreiber müssen seither einige Vorgaben beachten, um die eigene Internetseite DSGVO-konform zu gestalten und keine Strafen zu riskieren. Wer jedoch ein neues WordPress-Projekt startet oder noch nicht im Bilde über die wesentlichen Aspekte ist, kann sich hier nochmal einen aktuellen Überblick dazu verschaffen.
Abhängig davon, welche Inhalte und Services du anbietest oder welche Dienste du im Hintergrund nutzt, sind verschiedene Dinge zu berücksichtigen. Im folgenden Artikel möchten wir dir also die häufigsten Fragen rund um das Thema in aller Kürze beantworten. Der Inhalt soll eine gute Grundlage für eine DSGVO-konforme Webseite schaffen. Wir waren zum Thema DSGVO und Datenschutz auch im Gespräch mit Rechtsanwalt Marcus Dury .
Dieser Artikel und die darin enthaltenen Informationen dienen der redaktionellen Darstellung und Einordnung des Themas. Dieser Artikel ersetzt keine professionelle Rechtsberatung durch eine fachkundige Person – bei rechtlichen Fragen wende dich bitte an einen Kontakt deines Vertrauens.
Inhaltsverzeichnis
1. Was ist die DSGVO und was bedeutet es für Webseiten?
Die DSGVO (Datenschutz-Grundverordnung) ist eine Verordnung der Europäischen Union, die am 25. Mai 2018 in Kraft getreten ist.
Das Ziel ist es, den Datenschutz und die Privatsphäre von Bürgern innerhalb der EU zu stärken und zu vereinheitlichen. Die DSGVO legt fest, wie personenbezogene Daten zu erheben, zu verarbeiten, zu speichern und zu schützen sind.
Die wichtigsten Inhalte der DSGVO
Die DSGVO regelt klar die Maßnahmen zum Schutz personenbezogener Daten. Damit du keine Verordnungen lesen musst, haben wir dir einen Überblick über die wichtigsten Inhalte erstellt:
- Transparenz : Unternehmen müssen den Nutzern klar und verständlich mitteilen, wie ihre Daten erhoben und verwendet werden.
Rechte der betroffenen Personen : Die DSGVO stärkt die Rechte der betroffenen Personen, z. B. das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch der gespeicherten Daten.
Datenminimierung : Es dürfen nur die Daten erhoben werden, die für den jeweiligen Zweck notwendig sind.
Datensicherheit : Unternehmen sind verpflichtet, personenbezogene Daten vor Verlust, Missbrauch und unbefugtem Zugriff zu schützen.
Einwilligung : Personenbezogene Daten dürfen nur mit ausdrücklicher, informierter und freiwilliger Einwilligung der betroffenen Personen verarbeitet werden, wenn keine andere rechtliche Grundlage besteht – Stichwort Cookie Banner.
Meldung von Datenschutzverletzungen : Bei Datenschutzverletzungen müssen Unternehmen diese innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden.
Bußgelder : Verstöße gegen die DSGVO können mit hohen Geldstrafen von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes geahndet werden.
Warum ist die DSGVO wichtig für dein Unternhemen?
Rechtliche Pflicht
Jede Webseite, die personenbezogene Daten von EU-Bürgern verarbeitet (z. B. Kontaktformulare, Newsletter, Cookies), muss die DSGVO einhalten – auch in Hinsicht auf die Datenverarbeitung an Drittländer, wie zum Beispiel die USA. Mit einer sachgemäßen Einhaltung sparst du dir zudem rechtliche Auseinandersetzungen.
Informiere dich hier über die Datenverarbeitung personenbezogener Daten in die USA.
🎙️US-Datensicherheit – warum deutsche Unternehmen ihre Daten immer noch nicht lokal hosten.
Die DSGVO-Richtlinien geben dir ein Regelwerk an die Hand, dass dir hilft, die Daten deiner Kunden und Nutzer richtig zu verwalten. Für dein Unternehmen sind das zentrale Aspekte, die dich vor Strafen und Problemen schützen können.
Vermeidung hoher Strafen
Grobe Verstöße können Abmahnungen inklusive hoher Bußgelder mit sich ziehen. Diese können je nach Verstoß und Unternehmen variieren – ein günstiger Spaß wird das aber definitiv nicht sein.
Vertrauen der Nutzer
Ein guter Datenschutz schafft Transparenz und stärkt die Glaubwürdigkeit sowie Kundenbindung. Das sollte sich daher auch in Cookie Banner, Datenschutzregelungen und Impressum auf deiner Webseite widerspiegeln.
Wettbewerbsvorteil
Die Auseinandersetzung mit der DSGVO und eine DSGVO-konforme Webseite werden oft als seriöser und professioneller wahrgenommen. Das gibt Sicherheit und Vertrauen, die insbesondere im Online-Business immer wichtiger wird.
Welche Daten werden auf meiner Webseite verarbeitet?
Auf einer WordPress Webseite können eine Vielzahl von personenbezogenen Daten verarbeitet werden – natürlich sind diese davon abhängig, welche Funktionen und Plugins du auf deiner Webseite integriert hast. Zu den häufigsten Daten gehören:
- Benutzerdaten – Name, E-Mail-Adressen, Benutzername, Kommentare, Adressen, IP-Adresse etc. Diese können über Formulare, Käufe etc. gesammelt werden.
- Cookies und Tracking-Daten – IP-Adresse, Standort, Browsing-Verhalten, verwendete Gerätetypen und Referrer. Sie dienen der Analyse des Nutzerverhaltens.
- E-Commerce-Daten – Kundenname, Lieferadresse, Rechnungsadresse, E-Mail-Adresse, Telefonnummer, Zahlungsinformationen, Bestellhistorie – alle Informationen, die du beim Kauf eines Produktes angibst.
- Server- und Hosting-Daten – Bei jedem Besuch einer Seite werden Infos zu IP-Adressen, Gerätetyp, Verbindungsqualität, Anfragezeiten und Fehlermeldungen erkannt.
Der Datenschutz in Deutschland ist ein zentrales Thema, dass mittlerweile fast jeden betrifft, der das Internet nutzt.
Rund 52 % aller Deutschen achten darauf, wo sie persönliche Daten angeben. Interessant daran zu sehen, ist der unterschiedliche Umgang mit dem Datenschutz zwischen den Generationen. Während sich die Babyboomer mit rund 50 % aktiv für den Schutz ihrer Daten einsetzen, sind bei der Generation Z gerade mal 28 %.
Trotz aller Richtlinien, die den Datenschutz in Deutschland regeln sollen, fühlen sich 2022 gerade mal 31 % der Deutschen im Netz sicher. Mehr als 58 % rechnen sogar damit, dass ihre Daten für kriminelle Zwecke verwendet werden – damit sind die deutschen Vorreiter in Europa, wenn es um das Thema „Angst vor Datenmissbrauch angeht“.
Quellen: Datenschutz & Sicherheit | Datenschutz im Internet nach Generationen | Datenschutz: Deutsche fühlen sich sicherer | Deutsche fürchten sich vor Datenmissbrauch
2. Rechtliche Grundlagen der DSGVO
Bitte beachte, dass vorliegende Inhalte der redaktionellen Information dienen und keine professionelle Rechtsberatung durch eine fachkundige Person ersetzt.
Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO)
Daten dürfen nur verarbeitet werden, wenn eine Rechtsgrundlage vorliegt.
💡 Beispiel:
- Gezielte Einwilligung der Datenverarbeitung bei Newsletter-Anmeldungen.
- Vertragserfüllung bei Online-Shops, da deine Daten benötigt werden, um den Kauf abzuschließen.
- Berechtigtes Interesse an Analysedaten des Nutzerverhaltens, du musst den Besucher allerdings darüber informieren.
Informationspflichten (Art. 12–14 DSGVO)
Du musst in deiner Datenschutzerklärung offenlegen, welche Daten erhoben werden, zu welchem Zweck und wie lange sie gespeichert werden.
💡 Beispiel:
- In der Datenschutzerklärung auf deiner Webseite erklärst du, dass zum Beispiel E-Mail-Adressen zum Versand der Newsletter verarbeitet werden und für maximal 2 Jahre gespeichert werden, wenn der Nutzer sich abmeldet.
- Bei der Verwendung von Cookies, erklärst du welches Cookies gesetzt werden, zu welchem Zweck sie verwendet werden und wie der Nutzer sie ablehnen kann.
Einwilligung (Art. 7 DSGVO)
Die Einwilligung des Nutzers muss freiwillig, informiert und eindeutig sein – der Nutzer muss aber auch die Option haben, seine Einwilligung jederzeit widerrufen zu können.
💡 Beispiel:
- Die Verwendung von Cookies muss über ein Cookie Banner klar kommuniziert werden und darf nur bei einem aktiven Klick auf Zustimmen aktiviert werden – das entspricht einer eindeutigen Einwilligung, die die DSGVO verlangt.
- Bei einer Newsletter Anmeldung muss der Nutzer meist aktiv ein Häkchen ankreuzen, die die Nutzung seiner Daten für den Versand der Inhalte bestätigt.
Rechte der Betroffenen
Nutzer haben Rechte in Bezug auf ihre Daten, wie z. B. das Recht auf Auskunft, Berichtigung, Löschung oder Widerspruch.
💡 Beispiel:
- Nutzer fordern die Auskunft, welche ihrer Daten gespeichert werden. Diese musst du innerhalb von 30 Tagen zur Verfügung stellen.
- Ein Nutzer möchte, dass all seine gespeicherten Daten gelöscht werden – dem musst du nachkommen.
- Ein Nutzer widerspricht der Verarbeitung seiner Daten zu Marketingzwecken – auch hier darfst du die Daten nicht mehr verwenden.
Datensicherheit
Du musst technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten zu schützen.
💡Beispiel:
Du musst deine Webseite ausreichend schützen, um die personenbezogenen Daten deiner Nutzer zu sichern. Dazu zählen unter anderem Passwortschutz, regelmäßige Backups oder SSL-Verschlüsselungen.
Mehr Informationen zum Thema Datensicherheit und Datenschutz kannst du dir hier im Video anschauen oder auch noch einmal in aller Ruhe nachlesen:
3. Die WordPress Webseite DSGVO-konform umsetzen
Funktionen und Prozesse rechtssicher umsetzen
Es gibt auf deiner Webseite jede Menge Funktionen, Tools und Prozesse auf die DSGVO-Richtlinien Einfluss haben – vielleicht sogar mehr, als dir momentan bewusst ist. Deswegen schauen wir uns einmal die wichtigsten Bereiche an, bei denen du die DSGVO-Richtlinien unbedingt beachten solltest, um die Daten deiner Besucher zu schützen.
Den richtigen Hosting-Anbieter auswählen
Der Schutz persönlicher Daten beginnt bereits mit dem Aufbau deiner Webseite – nämlich bei der Auswahl deines Hosting-Anbieters. Das liegt in erster Linie an den Serverstandorten des Hosters. Denn die DSGVO verlangt, dass persönliche Daten ausschließlich innerhalb der EU oder in einem Land mit entsprechendem Datenschutzniveau gespeichert werden.
Hosting-Anbieter mit Serverstandorten in Deutschland oder grundsätzlich in der EU sind also unverzichtbar geworden.
Impressum
Deine Datenschutzerklärung und Angaben im Impressum sind zentrale und rechtlich wichtige Aspekte deiner Webseite. In Deutschland gilt eine Impressumspflicht, die die Transparenz von Webseiten stärken und Verantwortliche offenlegen und unseriöse Angebote offenlegen soll. Das gilt auch für die Datenschutzerklärung, die über die Verarbeitung deiner personenbezogenen Daten aufklärt.
Nach dem Telemediengesetz (TMG) und dem Bürgerlichen Gesetzbuch (BGB) sind Betreiber von Webseiten in Deutschland gesetzlich dazu verpflichtet, ein Impressum zu führen, das leicht zugänglich ist. Hier die wichtigsten Pflichtangaben:
Name und Anschrift des Webseitenbetreibers oder bei juristischen Personen auch der Vertreter.
Kontaktmöglichkeiten wie E-Mail-Adresse und Telefonnummer.
Vertretungsberechtigter, zum Beispiel der Geschäftsführer.
Handelsregistereintrag, dazu zählen die Handelsregisternummer und das Registergericht.
Umsatzsteuer-Identifikationsnummer
Aufsichtsbehörde – nur bei bestimmten Berufen (Anwälte, Steuerberater) nötig sowie deren Registernummer.
Berufshaftpflichtversicherung – ebenfalls nur bei bestimmten Berufen (Anwälte, Ärzte) müssen Informationen zur Versicherung angegeben werden.
Gezielte Informationen zum Thema Impressum bei WordPress richtig umsetzen findest du hier:
🧾Dein rechtssicheres Impressum bei WordPress – welche Infos du nennen solltest und warum.
Datenschutzerklärung
Die DSGVO-Richtlinien machen die Datenschutzerklärung zu einem unverzichtbaren Bestandteil jeder Webseite. Sie muss, wie das Impressum, leicht zugänglich sein und bestimmte Informationen enthalten.
Die Datenschutzerklärung informiert über Zweck und Umfang der Verarbeitung personenbezogener Daten. Du kommst damit deinen gesetzlichen Informationspflichten nach und gestattest deinen Besuchern, sich hinsichtlich des Datenschutzes auf deiner Webseite zu informieren.
Zu den Inhalten gehören Informationen zur Verarbeitung von Daten wie IP-Adressen oder Adressdaten, zum Umgang mit Cookies, zur Verwendung von Analyse-Tools oder Social-Media-Plugins und vieles mehr.
Einige Angaben in der Datenschutzerklärung sind zwingend erforderlich:
- Datenkategorien – Welche personenbezogenen Daten werden erhoben?
- Zweck der Datenerhebung – Warum werden die Daten von dir erhoben?
- Rechtsgrundlage der Verarbeitung – Welche Grundlagen gibt es für die Verarbeitung der Daten: Einwilligung, Vertragserfüllung etc.
- Empfänger der Daten – An wen werden die gesammelten Daten weitergegeben, zum Beispiel externe Dienstleister, wie Hosting Partner, Newsletter-Tools, Analyse-Tools etc.
- Datenaufbewahrung – Wie lange werden die Daten gespeichert, auch nachdem die Einwilligung widerrufen wurde.
- Rechte der Betroffenen – Welche Rechte hat der Nutzer: Auskunfts-, Widerspruchs-, Löschungs- oder Berichtigungsrecht
- Übermittlung von Daten in Drittländer – Werden Daten an Drittstaaten außerhalb der EU übermittelt.
- Sicherheitsmaßnahmen – Welche technischen und organisatorischen Maßnahmen werden ergriffen, um die Daten zu schützen.
- Kontaktdaten – Wer ist Ansprechpartner rund um das Thema Datenschutz?
Die Datenschutzerklärung gehört daher am besten präsent im Footer verlinkt, sodass ein Zugriff jederzeit möglich ist.
Es gibt Online zahlreiche Angebote, um dir eine individuelle Datenschutzerklärung erstellen zu lassen. Falls du ein solches Angebot nutzen möchtest, empfehlen wir dir, deine Datenschutzerklärung unbedingt von einer fachkundigen Rechtsperson prüfen zu lassen.
Sicherstellung der Datensicherheit
Datensicherheit ist ein wesentlicher Bestandteil des Datenschutzes und schützt personenbezogene Daten vor unbefugtem Zugriff, Verlust und Missbrauch. Für Webseitenbetreiber, insbesondere bei WordPress Webseiten , gibt es verschiedene Maßnahmen, die getroffen werden müssen, um die Datensicherheit zu gewährleisten.
Mehr dazu erfährst du gleich hier oder auch schon in unserem Video-Podcast zum Thema: Deutsche Unternehmen geben ihre Daten an die USA – warum?
Du willst mehr über die Sicherheit von WordPress erfahren? Dann findest du hier die wichtigsten Aspekte und viele Tipps, um deine Webseite wirklich sicher zu machen:
🏰 So sicher wie Fort Knox – 10 geniale Tipps zur Absicherung von WordPress.
🔬 Sicherheitslücken erkennen und schließen – Dein Leitfaden für mehr Sicherheit bei deiner Webseite.
SSL-Verschlüsselung von WordPress Webseiten
Grundsätzlich weist die DSGVO nicht explizit auf den Einsatz eines SSL-Zertifikats und die Verschlüsselung der Internetseite hin, verlangt aber einen angemessenen Schutz der vorhandenen Daten.
Das SSL-Zertifikat bzw. die SSL-Verschlüsselung sorgt dafür, dass die Kommunikation zwischen einer Webseite und dem Nutzer verschlüsselt wird, sodass die übermittelten Daten nicht abgefangen werden können.
Das SSL Zertifikat gehört mittlerweile zur Standardausstattung von Webseiten. Normalerweise erhältst du ein Let’s Encrypt SSL-Zertifikate kostenlos bei deinem Hosting Partner, dass du direkt über dein Hosting-Panel aktivieren kannst.
Alternativ kannst du es aber auch bei speziellen Anbietern selbst erwerben.
Mehr Informationen zur SSL-Verschlüsselung und zur Installation des SSL-Zertifikates kannst du hier nachlesen:
🔑 SSL-Verschlüsselung bei WordPress – so sicherst du die Daten deiner Webseite ab.
Regelmäßige Updates und Wartung deiner Webseite
Die DSGVO-Richtlinien schreiben eine gewisse Sicherheit bzw. eine Sicherheitsstruktur vor, damit die Daten deiner Kunden oder Nutzer an einem sicheren Ort liegen. Um das zu gewährleisten, benötigst du unbedingt eine regelmäßige Wartung deiner Webseite – inklusive Sicherheits-Updates und Backups.
Gerade Plugins bieten Statistiken zufolge das größte Risiko für Sicherheitslücken, Hacker-Angriffe oder Spam.
Für die Wartung deiner Webseite hast du mehrere Optionen:
- Du übernimmst die Wartung, Updates und Backups deiner Webseite
- Dein Hosting-Partner sorgt für die Sicherheit deiner Webseite
- Du beauftragst eine externe Agentur mit den Wartungsarbeiten deiner WordPress Seite
Die Wartung deiner Webseite ist besonders wichtig, um deine Daten vor den Zugriffen Fremder zu schützen – Hackerangriffe, Spam-Attacken oder der Missbrauch von Daten sind heute an der Tagesordnung. Eine fachgerechte Wartung ist daher mit die einzige Möglichkeit, deine und die Daten deiner Kunden sicher in deiner Datenbank zu verstauen.
Falls du die Sicherheitsupdates nicht selbst übernehmen möchtest, kannst du dich über einen professionellen Update-Service informieren.
- PageSpeed Score
- Core Web Vitals
- Parameter mit Erläuterung
Nach dem Absenden erhältst du das Ergebnis direkt per E-Mail.
Mit dem Absenden dieses Formulars stimmst du unseren Datenschutzbestimmungen zu.
Google Fonts DSGVO-konform bei WordPress einbinden
Die rechtskonforme Einbindung der Google Fonts – also Schriftarten von Google – sorgten in der Vergangenheit bereits für viel Aufsehen. 2022 wurde das Thema im Zuge einer Abmahnwelle vielfach diskutiert: wie sieht eine DSGVO-konforme Nutzung der Google Fonts aus?
Das Landesgericht München entschied 2022, dass die dynamische Einbindung von Google Fonts rechtswidrig ist.
Daraufhin nutzten Kanzleien und auch Privatpersonen das Urteil, massenhaft Abmahnungen an Webseitenbetreiber zu versenden. Darin wurden Schadensersatzforderungen in Höhe von rund 100 Euro gefordert.
Die gesamte Abmahnwelle und das Vorgehen der Kanzleien wurde von mehreren Gerichten als rechtsmissbräuchlich eingestuft, da das übergeordnete Ziel war, schnelles Geld zu verdienen und nicht der Datenschutz im Zentrum der Debatte stand.
Hintergrund ist: viele Themes und Plugins beinhalten die automatische Nutzung der Google Fonts. Dies muss aber auch richtig umgesetzt werden – und zwar über eine lokale Installation der Google Fonts.
Die tatsächlich einfachste Lösung dazu ist die Installation und Verwendung des Plugins OMGF , dass du dir kostenlos bei WordPress herunterladen kannst. Das Plugin hilft dir Schritt für Schritt, die Google Fonts richtig bei deiner Webseite zu hinterlegen – so musst du dir keine Gedanken mehr über die richtige Verwendung deiner Schriftarten machen.
Detaillierte Informationen zur DSGVO-konformen Verwendung der Google Fonts, Schritt-für-Schritt-Anleitungen zu den DSGVO-konformen Installations-Optionen, Tipps und rechtliche Hinweise kannst du hier nachlesen:
Cookie Banner rechtssicher bei WordPress implementieren
Die wenigsten Internetseiten kommen heute noch ohne Cookie Banner aus. Das liegt vor allem an der Nutzung von Analyse-Tools, um die Nutzerverhaltensweise besser verstehen zu können und das funktioniert über Cookies.
Cookies sind kleine Dateien, die beim Aufrufen einer Internetseite auf dem Rechner des Besuchers gespeichert werden. Mit Hilfe der Cookies lassen sich Besucher wiedererkennen, individuelle Inhalte einblenden, User-Aktivitäten nachverfolgen und vieles mehr.
Um diese Nutzerdaten erheben zu können, benötigst du ein Cookie Banner, über das deine Nutzer der Verwendung der Cookies zustimmen oder diese ablehnen können. Eine reine Information über die Erhebung von Daten reicht nach der DSGVO nicht mehr aus.
Wichtig ist, dass dein Cookie Banner DSGVO-konform eingerichtet ist und deine Cookies sowie die Datenschutzerklärung richtig hinterlegt sind. Dein Cookie Banner muss dem User zum Beispiel die Möglichkeit geben, die Cookies direkt annehmen, ablehnen oder selbst einstellen zu können. Dabei dürfen auch grundsätzlich keine Voreinstellungen getroffen werden.
Wie gestalte ich mein Cookie Banner DSGVO-konform
Das Cookie Banner muss über die auf deiner Webseite eingesetzten Cookies informieren und dem Besucher die Möglichkeit geben,
- Cookies einzustellen,
- zu akzeptieren
- oder abzulehnen.
Hierbei gibt es Unterschiede zwischen notwendigen und nicht notwendigen Cookies.
Zu den sog. essentiellen Cookies gehören zum Beispiel:
- Session-Cookies : Diese werden verwendet, um die Sitzung des Nutzers zu verwalten
- Authentifizierungs-Cookies : Diese Cookies sind notwendig, um Nutzer zu authentifizieren
- Sicherheits-Cookies : Sie helfen dabei, Sicherheitsrisiken zu minimieren, indem sie verhindern, dass schadhafter Code ausgeführt wird
- Cookie-Consent-Cookies : Diese speichern die Einstellungen des Nutzers, ob er der Verwendung von Cookies zugestimmt hat.
Im Cookie Banner sollte auch ein Link zur Datenschutzerklärung und deinem Impressum hinterlegt sein.
Achte bei der Auswahl deines Cookie Banner Plugins unbedingt auf die folgenden Aspekte:
- Das Plugin sollte von Haus aus DSGVO-konform zu verwenden sein.
- Sollte dich bei falschen oder kritischen Anpassungen bzw. Einstellungen im Plugin warnen.
- Sollte Tipps für mehr Rechtssicherheit bei der Umsetzung mitbringen.
Erfahre mehr zum Thema Cookie Banner und Impressum in den folgenden Beiträgen:
🍪 Real Cookie Banner DSGVO-konform anwenden – einfaches Tutorial.
🤖 Borlabs Cookie Plugin im Test – so einfach zum rechtssicheren Cookie Banner.
🍪🚫 Erstelle eine Webseite ohne Cookie Banner – so machst du es möglich.
📃 WordPress Impressum richtig anlegen – an diese Inhalte solltest du denken.
Formulare DSGVO-konform gestalten
Kontaktformulare sind super effizient und einfach auf deiner Webseite einzubinden und bilden eine bewährte Lösung für deine Kunden, um Kontakt zu dir aufzunehmen.
Bei der Verwendung von Kontaktformularen werden aber natürlich eine Menge personenbezogener Daten übermittelt, die es entsprechend zu schützen gilt. Daher musst du auch hier sicherstellen, dass die Erhebung, Speicherung und Verarbeitung der Daten transparent nachvollziehbar bleibt.
Wichtig ist außerdem, dass du bei den abgefragten Daten den Grundsatz der Datensparsamkeit und Grundprinzipien für Kontaktformulare beachtest. Einige Punkte solltest du beachten:
- Du darfst keine Pflichtangaben verlangen, die für den Zweck des Kontaktformulars nicht unbedingt erforderlich sind. So benötigst du beispielsweise für eine telefonische Rückrufbitte im Allgemeinen nicht das Geburtsdatum des Besuchers.
- Sollen dennoch nicht zwingend notwendige Informationen freiwillig abgefragt werden, solltest du darauf achten, dass Pflichtfelder deutlich als solche markiert sind.
- Jede Form der Verarbeitung personenbezogener Daten muss freiwillig und informiert stattfinden. Integriere daher in deinem Formular ein Checkbox-Feld – das nicht vorher abgehakt ist – mit einem passenden Text: Ich stimme der Verarbeitung meiner Daten gemäß der Datenschutzerklärung zu.
- Verlinke die Datenschutzerklärung direkt im Formular und mache den Zweck der Datenerhebung klar.
- Deine Aufgabe im Hintergrund ist es, die Rechte der Nutzer sicherzustellen . Dazu zählt, die Daten nur für eine gewisse Zeit zu speichern, gut sichtbare Optionen zu bieten, um Daten zu löschen, zu ändern oder auch die Einwilligung zu widerrufen.
Mehr Informationen zur richtigen Verwendung, Installation und DSGVO-konformen Anpassung von Formularen findest du hier:
🩻 Formidable Forms – das Formular Plugin rechtssicher einsetzen und konfigurieren.
Grundsätzlich kannst du ein Plugin deiner Wahl verwenden, da die Einstellung bzw. Einrichtung des Formulars ja bei dir liegt.
DSGVO-konforme Captcha-Dienste nutzen
Jeder von uns kennt die berühmten Captcha-Rätsel: Finde alle Bilder, in dem eine Ampel zu sehen ist, ein Zebrastreifen oder Motorräder – das ist meist Google reCAPTCHA. Aber Google und DSGVO-konform? Oft schwierig.
Das Problem daran ist, dass nach aktuellem Stand der reCAPTCHA Dienst leider nicht DSGVO-konform anwendbar ist, da personenbezogene Daten an Standorte in den USA gesendet werden – das klassische Problem also.
Was genau ist ein Captcha Dienst?
Das sog. Captcha beschreibt einen Test, mit dem festgestellt werden kann, ob der interagierende Nutzer ein Computer oder ein Mensch ist. Das Problem an reCAPTCHA ist zu Beispiel, dass Google seine Datenschutzerklärung nicht offen legt, weswegen nicht klar ist, was genau mit den gesammelten Daten passiert.
reCAPTCHA kann allerdings durch die Einbindung auf einer Webseite auf alle Cookies zugreifen, um Nutzer möglicherweise auch auf anderen Webseiten zu verfolgen, die nicht zu Google gehören.
Daher gilt es europäische und DSGVO-konforme Alternativen zu verwenden, die von Haus aus DSGVO-konform zu verwenden sind.
Anforderungen an DSGVO-konforme Captchas
- Keine unnötige Datenübertragung an Drittanbieter ohne Einwilligung – das beinhaltet IP-Adressen, Browser-Daten oder Cookies, die nicht an externe Server gesendet werden dürfen.
- Einwilligung vor Einbindung – falls ein Drittanbieter dennoch erforderlich sein sollte, muss vorher eine Einwilligung und Zustimmung zur Nutzung eingeholt werden
- Besser lokale oder anonymisierte Lösungen bevorzugen – das bedeutet es lohnt sich aus Sicherheitsgründen auf Captchas zu setzen, die lokal auf dem Server laufen und keine externen Dienste integriert haben.
Für eine lokale und DSGVO-konforme Verwendung von Captcha-Diensten empfehlen wir Friendly Captcha – ein europäischer und von Haus aus DSGVO-konformer Captcha-Dienst.
Friendly Captcha ist eine moderne, DSGVO-freundliche Alternative zu Google reCAPTCHA:
Keine Datenweitergabe, daher ist eine Zustimmung nicht zwingend notwendig.
Einfache Integration in WordPress.
Benutzerfreundlich und barrierefrei.
Für alle WordPress-Seiten, die DSGVO-konform bleiben wollen und gleichzeitig Spam verhindern möchten, ist Friendly Captcha eine sehr gute Lösung.
Als DSGVO-konforme Lösung empfehlen wir daher Friendly Captcha mit Sitz in der EU (München). Bei der Verwendung müssen die User auch kein Bildrätsel mehr lösen, da Friendly Captcha ein kryptografisches Rätsel generiert, welches vom jeweiligen Browser, anhand der gesammelten technischen Signale, vollständig im Hintergrund gelöst wird.
Mehr Informationen zu Friendly Captcha , Details zu Funktionsweisen, Kosten uvm. kannst du in unserem passenden Artikel dazu nachlesen:
🤓 Friendly Captcha – der DSGVO-konforme Captcha Dienst aus der EU.
WordPress Kommentarfunktion absichern
Ja, tatsächlich muss auch bei der Kommentarfunktion bei WordPress nach einer rechtssicheren Datenverarbeitung Ausschau gehalten werden. Denn im Normalfall werden hier die IP-Adresse und natürlich die angegebenen Infos gespeichert. Dazu gehören:
- Name
- E-Mail-Adresse
- IP-Adresse
- Datum und Uhrzeit
Die Speicherung von IP-Adressen ist allerdings laut DSGVO nicht gültig, da man über die IP-Adresse den Nutzer theoretisch identifizieren kann. Als angepasste Maßnahme bietet WordPress daher die Funktion an, IP-Adressen zu anonymisieren (auch einige DSGVO-Tools setzen das automatisch um).
Das anonymisieren der IP-Adresse kannst du manuell zum Beispiel über diesen Code integrieren:
add_filter('pre_comment_user_ip', function($ip) {
return '0.0.0.0';
}); Zusätzlich dazu empfehlen wir dir auch hier ein Opt-in-Feld in Form einer Checkbox bei der Kommentarfunktion und den Link zur Datenschutzerklärung zu integrieren. Darüber stellst du sicher, dass der Nutzer der Datenweiterleitung aktiv zustimmt.
„Ich stimme der Speicherung meiner Daten für die Bearbeitung des Kommentars zu.“
Zuletzt solltest du personenbezogene Daten zu Kommentaren wirklich nur so lange speichern, wie du sie wirklich benötigst.
Du möchtest keine Kommentare erhalten, die Funktion deaktivieren oder Kommentare einfach anders verwalten? Dann kannst du hier mehr Informationen dazu nachlesen:
🗯️ Kommentare bei WordPress – Optionen und Tipps zur Verwaltung und Bearbeitung der Kommentar-Funktion.
DSGVO an einem Ort umsetzen – Plugin Empfehlung
Jetzt haben wir dir bisher gezeigt, wie du viele Bereiche DSGVO-konform sichern kannst, damit du keinerlei Probleme mit dem Gesetz befürchten musst. Aber all das manuell umzusetzen kostet natürlich Zeit und Ressourcen. Daher stellen wir hier noch eine praktische Plugin-Alternative vor, mit deren Hilfe du viele DSGVO-Themen direkt an einem Ort umsetzen kannst.
WP DSGVO Tools by legalweb.io – die Komplettlösung für DSGVO-Themen
WP DSGVO Tools ist ein WordPress Plugin, dass Webseitenbetreiber bei der Umsetzung der DSGVO-Richtlinien unterstützt. Das Plugin gilt als Komplettlösung für WordPress, ohne dass du alle Aufgaben manuell oder über verschiedene Plugins lösen musst. Legalweb.io arbeitet hier mit der Automation von Kernaufgaben, wie zum Beispiel einem Cookie-Banner, Datenschutzerklärung, Datenexport- und Löschen. WP DSGVO Tools hat bei WordPress selbst mehr als 10.000 aktive Installationen und kann bedenkenlos eingesetzt werden.
Funktionen
- Cookie Banner- & Consent
- Erstellt DSGVO-konforme Datenschutzerklärungen
- Datenexport & Löschen von Daten – Nutzer können ihre Daten einsehen, exportieren und löschen lassen.
- DSGVO-konforme Formularintegration
- Dokumentation und Protokollierung von Einwilligungen und Maßnahmen
Vorteile
- Automatisierung vieler Aufgaben
- Einfach Integration und Kompatibilität mit anderen gängigen Plugins
- Rechtssichere Einbindung reduziert das Risiko von Abmahnungen durch DSGVO-Verstöße
- Flexible Einstellungen, welche Cookies, Skripte oder Formulare betroffen sind
Preis: Kostenlos bei WordPress und ab 12 € pro Monat.
4. Der richtige Umgang mit Nutzerdaten – Tipps
Benötige ich einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit meinem Hosting-Anbieter?
Erst einmal klären wir, was genau ein AV-Vertrag ist:
Der Auftragsverarbeitungsvertrag (AV-Vertrag) wird auch über die DSGVO beschrieben und regelt die rechtlichen Pflichten zwischen dir als Webseitenbetreiber (Verantwortlicher) und einem Dienstleister, der personenbezogene Daten für dich verarbeitet (Auftragsverarbeiter). Ziel hinter einem solchen Vertrag ist es, sicherzustellen, dass Daten nur im Rahmen deiner Anweisungen verarbeitet werden und technisch & organisatorisch geschützt sind.
Ein AV-Vertrag kommt immer dann zum Zug, wenn ein externer Dienstleister Daten in deinem Auftrag verarbeitet . Zum Beispiel:
- Dein Hosting-Partner – er speichert Daten aus den Benutzerkonten, Kontaktformular-Daten etc.
- Newsletter-Tools – die über weitere Plugins oder Anbieter laufen, zum Beispiel über Mailchimp.
- Analyse-Tools – wie Google Analytics oder Matomo, wenn hier IP-Adressen oder Nutzerprofile gespeichert werden.
- Backup-Dienstleistungen – diese speichern personenbezogene Daten deiner Webseite und geben diese ggf. weiter an externe Dienste.
Sobald also ein Dienstleister, mit dem du zusammenarbeitest, in deinem Auftrag personenbezogene Daten verarbeitet, benötigst du einen solchen AV-Vertrag.
In einem AV-Vertrag sind unter anderem die Art und der Zweck der externen Datenverarbeitung und das Haftungsrisiko geregelt. Zudem stellt der Vertrag sicher, dass der Dienstleister sich DSGVO-konform verhält. Je nach Umfang und Art der externen Datenverarbeitung genügt ein Standard-Vertrag des Anbieters, der beispielsweise Bestandteil der AGBs ist, oder es muss ein individueller Vertrag abgeschlossen werden.
Wenn du dir bei einem Dienstleister unsicher bist, ob dieser mit AV-Verträgen arbeitet, frag einfach mal nach. Bei unserem Hosting ist es beispielsweise Standard, dass wir einen solchen anbieten.
Informationen zu unserem AV-Vertrag kannst du hier in unserem FAQ-Artikel nachlesen:
Datenlöschung und Zugriffsrechte bei WordPress
Die DSGVO gibt jedem Nutzer das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit. Für Webseitenbetreiber bedeutet das: Du musst Mechanismen bereitstellen, damit Nutzer ihre Daten einsehen oder löschen können.
Mit den bisherigen bekannten Informationen weißt du bereits, dass du bei verschiedenen Tools, wie zum Beispiel Kontaktformularen, am besten eine Checkbox für die Zustimmung der Daten hinzufügst. Nachdem deine Nutzer also erst einmal zugestimmt haben, musst du bei Newslettern oder auch in der Datenschutzerklärung die Option bieten, diese Nutzung auch zu widerrufen oder zu ändern.
Das kannst du wie folgt umsetzen:
- Anfrage über ein Formular stellen – Verwende ein Formular, damit Nutzer die Sichtung, Lösung oder den Widerruf ihrer Datennutzung beantragen können.
- Link erstellen – Alternativ kannst du einen Link in Mails, Newsletter oder Formularen einbinden, über den Nutzer ihre Daten selbst verwalten können oder sich von einem Newsletter abmelden können.
- Zugriff über Benutzerkonten verwalten – arbeitest du mit Benutzerkonten auf deiner Webseite, können deine Nutzer ihre Daten in ihrem Profil einfach selbst verwalten und anpassen.
- Automatisierte Löschung von Daten – je nachdem in welchem Bereich du Daten sammelst oder löscht, kannst du das automatische Löschen von Daten nach einer gewissen Frist einstellen. Du kannst zwar Daten auch manuell über WordPress löschen, allerdings wäre das bei größeren Firmen sehr zeitaufwendig. Daher bieten einige Plugins die Funktion, Daten automatisch zu löschen.
5. Deine Webseite DSGVO-konform absichern – einfach umsetzten mit diesem Tutorial
Wie wir aus jüngster Vergangenheit gelernt haben, ist die DSGVO ein sehr sensibles aber zugleich auch wichtiges Thema. Umso wichtiger ist es, das eigene Unternehmen vor Abmahnungen oder weiterführenden Problemen zu schützen, indem wir darauf achten, Plugins und Co. DSGVO-konform zu verwenden.
Auf unserem Blog findest du zusätzlich zu den hier beschriebenen Themen weitere Artikel zur DSGVO-konformen Anwendung verschiedener Plugins, bei welchen Anwendungsbereichen du besonders aufpassen musst und vieles mehr.
Wenn du Probleme oder rechtliche Fragen zur DSGVO hast, raten wir dir zu einer professionelle Beratung bei einem Rechts-Experten.
5. Benötige ich einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit meinem Hosting-Anbieter?
Eine weitere häufig aufkommende Frage bezieht sich auf die Notwendigkeit eines Vertrags zur Auftragsverarbeitung (AV-Vertrag) mit dem Hosting-Anbieter oder anderen Dienstleistern. Sobald deine Dienstleister in deinem Auftrag personenbezogene Daten verarbeiten, benötigst du einen solchen AV-Vertrag. Das kann beispielsweise dein Webseiten-Hoster sein, der deine E-Mails archiviert, oder dein Newsletter-Serviceanbieter, der die E-Mail-Adressen, Namen und postalischen Adressen deiner Abonnenten verwaltet.
Wo findet ich den AV-Vertrag mit Euch?
Hi Sonja, wenn du dir einen Account erstellst (kostenlos), kannst du den AV-Vertrag im Kundencenter anschauen ✌️
Der Link ist nicht mehr aktuell. Wo ist der AV Vertrag wenn man bei Hostpress hostet?
Hallo Lukas,
vielen Dank für den Hinweis. Sagst du mir bitte welchen Link du konkret meinst, dann kümmere ich mich sofort um eine Aktualisierung.
Den AV-Vertrag kannst du bei uns im Kundencenter direkt herunterladen. Unter folgendem Link findest du alle Informationen zum AV-Vertrag genau erklärt: https://docs.hostpress.de/article/habt-ihr-einen-adv/ .