WordPress, DSGVO und Datenschutzerklärung

Wie gestalte ich meine Webpräsenz DSGVO-konform?

Die 5 Datenschutz-Basics für dein WordPress

 

Mit dem Inkrafttreten der Europäischen Datenschutzgrundverordnung (EU-DSGVO) am 25. Mai 2018 hat sich für Webseitenbetreiber vieles verändert. Die DSGVO schafft einen europaweit einheitlichen Standard zum Schutz personenbezogener Daten. Im Übrigen ist DSGVO synonym zu verwenden mit GDPR (General Data Protection Regulation), der Abkürzung des englischen Fachbegriffs für die europäische Regelung.

 

Webseitenbetreiber müssen seither einige Vorgaben beachten, um die eigene Internetseite DSGVO-konform zu gestalten und keine Strafen zu riskieren.

Inzwischen ist es etwas leiser geworden um dieses Thema und vieles hat bereits Einzug in die Routine gefunden. Wer jedoch ein neues WordPress-Projekt startet oder noch nicht im Bilde über die wesentlichen Aspekte ist, kann sich hier nochmal einen aktuellen Überblick dazu verschaffen.

 

Abhängig davon, welche Inhalte und Services du anbietest oder welche Dienste du im Hintergrund nutzt, sind verschiedene Dinge zu berücksichtigen. Im folgenden Artikel möchten wir dir also die häufigsten Fragen rund um das Thema in aller Kürze beantworten. Der Inhalt soll eine gute Grundlage für eine DSGVO-konforme Webseite schaffen.

 

Dieser Beitrag ersetzt keineswegs eine professionelle Rechtsberatung und dient lediglich der allgemeinen Orientierung.

1. Benötige ich eine Datenschutzerklärung?

Einfache Antwort vorab: Ja.

Die DSGVO macht eine Datenschutzerklärung zum unverzichtbaren Bestandteil jedes Internetauftritts. Sie muss wie das Impressum von jeder Seite aus leicht zugänglich sein und bestimmte Informationen enthalten.

 

So empfiehlt es sich, den Link zur Datenschutzerklärung an gleicher Stelle zu platzieren wie den Link zum Impressum. Denn immer die gespeicherten Verbindungsdaten umfassen IP-Adressen der Besucher. Diese zählen zu den personenbezogenen Daten, weswegen die allgemeine Antwort hier schlicht ja ist. Dies gilt für jeden professionellen Webauftritt, vollständig private Seiten können hier eine Ausnahme darstellen.

 

Diese Datenschutzerklärung informiert unter anderem über Zweck und Umfang der Verarbeitung personenbezogener Daten. Du kommst damit deinen gesetzlichen Informationspflichten nach und gestattest deinen Besuchern, sich hinsichtlich des Datenschutzes zu informieren. Zu den Inhalten gehören Informationen zur Verarbeitung von Daten wie IP-Adressen oder Adressdaten, zum Umgang mit Cookies, zur Verwendung von Analyse-Tools oder Social-Media-Plugins und vieles mehr.

 

Einige Angaben in der Datenschutzerklärung sind zwingend erforderlich. Dazu zählen grundsätzlich:

  • Name und Kontaktdaten des Verantwortlichen oder seines Vertreters
  • Rechtsgrundlage und Zweck der Verarbeitung der Daten
  • Aufklärung über die Rechte der Betroffenen wie bspw. Auskunfts-, Widerspruchs-, Löschungsrecht
  • Angaben zur zuständigen Aufsichtsbehörde
  • Kontaktdaten des Datenschutzbeauftragen (falls vorhanden)
  • und einiges mehr

Woher bekomme ich eine Datenschutzerklärung?

Auch wenn die Datenschutzerklärung individuell und einzelfallspezifisch formuliert sein soll, gibt es im Internet viele nützliche und kostenlose Generatoren für einfache Datenschutzerklärungen. In vielen Fällen sind diese automatisiert erstellten und mit spezifischen Daten ergänzten Erklärungen ausreichend. (Übrigens gibt es solche Generatoren auch für die Erstellung eines sachgemäßen Impressums.)

 

Natürlich gibt es daneben auch kostenpflichtige Leistungen im Internet oder man entscheidet sich in Abhängigkeit des Projektumfangs lieber gleich für einen professionellen Datenschutzbeauftragen. Hierzu wirst du leicht über die Suchmaschinen fündig.

2. SSL-Zertifikate: Muss ich meine Internetseiten verschlüsseln?

Einfache Antwort vorab: Ja.

Die DSGVO schreibt zwar nicht explizit den Einsatz eines SSL-Zertifikats und die Verschlüsselung der Internetseite vor, verlangt aber einen angemessenen Schutz der übertragenen personenbezogenen Daten. Nach aktuellem Stand der Technik bedeutet das eben genau diese Verschlüsselung.

 

Durch den Einsatz eines SSL-Zertifikats kann das HTTPS-Protokoll verwendet werden. So können die übertragenen Daten verschlüsselt werden, wodurch ein Abgreifen / „Abhören“ des Datenstroms ist nicht mehr ohne Weiteres möglich. Bei HostPress und vielen anderen Hostinganbietern ist die Einrichtung kostenloser SSL-Zertifikate von Let’s Enrypt in der Leistung inbegriffen.

 

Insbesondere, wenn du auf deiner Internetseite personenbezogene Daten erhebst, beispielsweise im Kontaktformular, bei der Newsletter-Anmeldung, beim Login oder beim Online-Shopping, sind der Einsatz eines SSL-Zertifikats und der verschlüsselte Transfer der Daten ein Muss.

ssl und https zur verschlüsselung der übertragenen daten
SSL bzw. HTTPS sind auch für SEO wichtig!
Kostenloser Speedtest CTA Box

Wie schnell ist deine WordPress Seite?

Teste jetzt kostenlos die Ladezeit deiner Webseite!

✔ Du bekommst das Testergebnis direkt per E-Mail.

3. Wie gestalte ich Formulare DSGVO-konform?

Beliebte Elemente fast jeder Webseite sind Kontaktformulare, über die der Besucher ein Anliegen übermitteln oder mit dem Webseitenbetreiber in Kontakt treten kann. Wie im vorigen Absatz erklärt, ist die Verschlüsselung der übertragenen Daten die Grundlage für ein DSGVO-konformes Formular.

 

Wichtig ist außerdem, dass du bei den abgefragten personenbezogenen Daten den Grundsatz der Datensparsamkeit beachtest. Du darfst keine Pflichtangaben verlangen, die für den Zweck des Kontaktformulars nicht unbedingt erforderlich sind. So benötigst du bespielsweise für eine telefonische Rückrufbitte im Allgemeinen nicht das Geburtsdatum des Besuchers. Sollen dennoch nicht zwingend notwendige Informationen freiwillig abgefragt werden, solltest du darauf achten, dass Pflichtfelder deutlich also solche markiert sind.

 

Vor dem Absenden eines Kontaktformulars sollte außerdem auf die Datenschutzerklärung hingewiesen werden, in der Zweck und Art der Datenverarbeitung genauer erläutert sind.

4. Was gilt es hinsichtlich des Einsatzes von Cookies zu beachten?

Fast keine Internetseite kommt ohne Cookies aus. Cookies sind kleine Dateien, die beim Aufrufen einer Internetseite auf dem Rechner des Besuchers gespeichert werden. Mit Hilfe der Cookies lassen sich Besucher wiedererkennen, individuelle Inhalte einblenden, User-Aktivitäten nachverfolgen und einiges mehr.

 

Eine DSGVO-konforme Webseite muss direkt beim ersten Kontakt des Besuchers dessen Einwilligung einholen, dass Cookies eingesetzt werden dürfen. Wo vorher bloß ein Cookie-Banner über den Einsatz informieren musste, wird inzwischen ein sogenannter Cookie-Consent-Banner eingesetzt. Diese müssen über die eingesetzten Cookies informieren und erlauben dem Besucher, individuelle Einstellungen zu treffen, welche Cookies er zulassen oder verbieten möchte. Zu den sogenannten essentiellen Cookies gehören bspw. Login- oder Warenkorb-Cookies, die den aktuellen Status speichern oder natürlich auch der Cookie, welcher speichert, welche Cookies ein Besucher akzeptiert hat.

dsgvo, gdpr, cookies
Auch bei uns gibt es gratis-Cookies 🙂

Im Cookie-Banner sollte schließlich ein Link zur Datenschutzerklärung gesetzt sein, in welcher nochmal ausführliche Informationen zu den verwendeten Cookies zu finden sind. Für den Banner selbst gibt es für WordPress bspw. Lösungen, wie das Plugin Borlabs Cookie. Ist dieses korrekt eingerichtet und sind alle Cookies neben der Datenschutzerklärung auch dort sauber hinterlegt, ist die grundsätzliche Pflicht soweit getan.

 

Natürlich gibt es noch einige Details und Auslegungsfragen, wobei wir dazu wieder eine professionelle Rechtsberatung anraten möchten. So muss es auch möglich sein, seine persönliche Cookie-Einwilligung leicht zu widerrufen, es gibt Prinzipien für die Gestaltung des Opt-In und Weiteres.

5. Benötige ich einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit meinem Hosting-Anbieter?

Eine weitere häufig aufkommende Frage bezieht sich auf die Notwendigkeit eines Vertrags zur Auftragsverarbeitung (AV-Vertrag) mit dem Hosting-Anbieter oder anderen Dienstleistern. Sobald deine Dienstleister in deinem Auftrag personenbezogene Daten verarbeiten, benötigst du einen solchen AV-Vertrag. Das kann beispielsweise dein Webseiten-Hoster sein, der deine E-Mails archiviert, oder dein Newsletter-Serviceanbieter, der die E-Mail-Adressen, Namen und postalischen Adressen deiner Abonnenten verwaltet.

 

In einem AV-Vertrag sind unter anderem die Art und der Zweck der externen Datenverarbeitung und das Haftungsrisiko geregelt. Zudem stellt der Vertrag sicher, dass der Dienstleister sich DSGVO-konform verhält. Je nach Umfang und Art der externen Datenverarbeitung genügt ein Standard-Vertrag des Anbieters, der beispielsweise Bestandteil der AGBs ist, oder es muss ein individueller Vertrag abgeschlossen werden.