Wie gestalte ich meine WordPress Webseite DSGVO-konform?

WordPress Webseite DSGVO-konform gestalten
29. Januar 2023

7 Tipps für den DSGVO-konformen Einsatz von WordPress

Mit dem Inkrafttreten der Europäischen Datenschutzgrundverordnung (EU-DSGVO) am 25. Mai 2018 hat sich für Webseitenbetreiber vieles verändert. Die DSGVO schafft einen europaweit einheitlichen Standard zum Schutz personenbezogener Daten. Im Übrigen ist DSGVO synonym zu verwenden mit GDPR (General Data Protection Regulation), der Abkürzung des englischen Fachbegriffs für die europäische Regelung.

Webseitenbetreiber müssen seither einige Vorgaben beachten, um die eigene Internetseite DSGVO-konform zu gestalten und keine Strafen zu riskieren. Wer jedoch ein neues WordPress-Projekt startet oder noch nicht im Bilde über die wesentlichen Aspekte ist, kann sich hier nochmal einen aktuellen Überblick dazu verschaffen.


Abhängig davon, welche Inhalte und Services du anbietest oder welche Dienste du im Hintergrund nutzt, sind verschiedene Dinge zu berücksichtigen. Im folgenden Artikel möchten wir dir also die häufigsten Fragen rund um das Thema in aller Kürze beantworten. Der Inhalt soll eine gute Grundlage für eine DSGVO-konforme Webseite schaffen. Wir waren zum Thema DSGVO und Datenschutz auch im Gespräch mit Rechtsanwalt Marcus Dury.


‼️ Achtung vor Abmahnungen bei Google Fonts!


Aktuell sind viele Abmahnungen bzgl. der falschen Einbindung der Google Fonts Schriftarten im Umlauf. Eine Anleitung für eine DSGVO-konforme Einbindung in deine Webseite findest du in unserem Beitrag: Google Fonts DSGVO-konform anwenden.


Dieser Beitrag ersetzt keineswegs eine professionelle Rechtsberatung und dient lediglich der allgemeinen Orientierung.

1. Die DSGVO-konforme Datenschutzerklärung

Die DSGVO macht eine Datenschutzerklärung zum unverzichtbaren Bestandteil jedes Internetauftritts. Sie muss, wie das Impressum von jeder Seite aus, leicht zugänglich sein und bestimmte Informationen enthalten. So empfiehlt es sich, den Link zur Datenschutzerklärung an gleicher Stelle zu platzieren wie den Link zum Impressum. Denn die gespeicherten Verbindungsdaten umfassen die IP-Adressen der Besucher und diese zählen zu den personenbezogenen Daten, die es zu schützen gilt.

Diese Datenschutzerklärung informiert unter anderem über Zweck und Umfang der Verarbeitung personenbezogener Daten. Du kommst damit deinen gesetzlichen Informationspflichten nach und gestattest deinen Besuchern, sich hinsichtlich des Datenschutzes zu informieren. Zu den Inhalten gehören Informationen zur Verarbeitung von Daten wie IP-Adressen oder Adressdaten, zum Umgang mit Cookies, zur Verwendung von Analyse-Tools oder Social-Media-Plugins und vieles mehr.


Einige Angaben in der Datenschutzerklärungsind zwingend erforderlich.


  • Name und Kontaktdaten des Verantwortlichen oder seines Vertreters
  • Rechtsgrundlage und Zweck der Verarbeitung der Daten
  • Aufklärung über die Rechte der Betroffenen wie bspw. Auskunfts-, Widerspruchs-, Löschungsrecht
  • Angaben zur zuständigen Aufsichtsbehörde
  • Kontaktdaten des Datenschutzbeauftragen (falls vorhanden)
  • und einiges mehr

Woher bekomme ich eine Datenschutzerklärung?


Auch wenn die Datenschutzerklärung individuell und einzelfallspezifisch formuliert sein soll, gibt es im Internet viele nützliche und kostenlose Generatoren für einfache Datenschutzerklärungen. In vielen Fällen sind diese automatisiert erstellten und mit spezifischen Daten ergänzten Erklärungen ausreichend. (Übrigens gibt es solche Generatoren auch für die Erstellung eines sachgemäßen Impressums.)

2. Die Webseite mit SSL-Zertifikat verschlüsseln

Ja – Die DSGVO schreibt zwar nicht explizit den Einsatz eines SSL-Zertifikats und die Verschlüsselung der Internetseite vor, verlangt aber einen angemessenen Schutz der übertragenen personenbezogenen Daten. Nach aktuellem Stand der Technik bedeutet das eben genau diese Verschlüsselung.
Durch den Einsatz eines SSL-Zertifikats kann das HTTPS-Protokoll verwendet werden. So können die übertragenen Daten verschlüsselt werden, wodurch ein Abgreifen / „Abhören“ des Datenstroms ist nicht mehr ohne Weiteres möglich. Bei HostPress und vielen anderen Hostinganbietern ist die Einrichtung kostenloser SSL-Zertifikate von Let’s Enrypt in der Leistung inbegriffen.
Insbesondere, wenn du auf deiner Internetseite personenbezogene Daten erhebst, beispielsweise im Kontaktformular, bei der Newsletter-Anmeldung, beim Login oder beim Online-Shopping, sind der Einsatz eines SSL-Zertifikats und der verschlüsselte Transfer der Daten ein Muss.

3. Formulare DSGVO-konform gestalten

Beliebte Elemente fast jeder Webseite sind Kontaktformulare, über die der Besucher ein Anliegen übermitteln oder mit dem Webseitenbetreiber in Kontakt treten kann. Wie im vorigen Absatz erklärt, ist die Verschlüsselung der übertragenen Daten die Grundlage für ein DSGVO-konformes Formular.

Wichtig ist außerdem, dass du bei den abgefragten personenbezogenen Daten den Grundsatz der Datensparsamkeit beachtest. Du darfst keine Pflichtangaben verlangen, die für den Zweck des Kontaktformulars nicht unbedingt erforderlich sind. So benötigst du beispielsweise für eine telefonische Rückrufbitte im Allgemeinen nicht das Geburtsdatum des Besuchers. Sollen dennoch nicht zwingend notwendige Informationen freiwillig abgefragt werden, solltest du darauf achten, dass Pflichtfelder deutlich also solche markiert sind.


Vor dem Absenden eines Kontaktformulars sollte außerdem auf die Datenschutzerklärung hingewiesen werden, in der Zweck und Art der Datenverarbeitung genauer erläutert sind.

Mehr Informationen zur richtigen Verwendung, Installation und DSGVO-konformen Anpassung von Formularen findest du in unserem Artikel zum Plugin Formidable Forms.

4. Google Fonts und DSGVO

Die Google Fonts waren in der jüngsten Vergangenheit ein sehr präsentes Thema: es hagelte Abmahnungen aufgrund der falschen Einbindung der Google Fonts Schriftarten in Webseiten, welche nicht der DSGVO entsprachen.

Sehr viele Themes und Plugins benutzen die Google Fonts. Wie wir nun wissen, ist es also auch besonders wichtig, diese richtig in die Webseite einzubinden. Um DSGVO-konform zu bleiben müssen die Google Fonts lokal eingebaut und auf dem eigenen Server geladen werden. Die tatsächlich einfachste Lösung dazu ist die Installation und Verwendung des Plugins OMGF, welches du dir kostenlos bei WordPress herunterladen kannst.


Alle Hintergründe, Informationen, Einstellungen und Tutorials zur DSGVO-konformen Einbindung der Google Fonts, findest du in unserem separaten Artikel, mit einer präzisen Vorgehensweise für den sicheren Einsatz der Google Fonts.

Fast keine Internetseite kommt ohne Cookies aus. Cookies sind kleine Dateien, die beim Aufrufen einer Internetseite auf dem Rechner des Besuchers gespeichert werden. Mit Hilfe der Cookies lassen sich Besucher wiedererkennen, individuelle Inhalte einblenden, User-Aktivitäten nachverfolgen und vieles mehr.
Das Cookie Banner muss allerdings DSGVO-konform verwendet werden bzw. damit zeigst du auch deinem User, dass deine Webseite DSGVO-konform ist. Das bedeutet du holst dir bei einem Besuch deiner Webseite die Einwilligung des Besuchers, externe und nötige Cookies zu verwenden. Die DSGVO schreibt daher mittlerweile vor, dass eine reine Information des Users nicht mehr ausreicht.

TIPP 💡


Wichtig ist, dass dein Cookie Banner richtig eingerichtet ist und deine Cookies sowie die Datenschutzerklärung richtig hinterlegt sind. Es muss dem User zum Beispiel die Möglichkeit gegeben werden, die Cookies direkt annehmen, ablehnen oder selbst einstellen zu können. Dabei dürfen auch grundsätzlich keine Voreinstellungen getroffen werden.


Das verwendete Cookie Banner muss die eingesetzten Cookies informieren und dem Besucher die Möglichkeit geben, individuelle Einstellungen treffen zu können, also welche Cookies er zulassen oder welche er verbieten möchte. Zu den sogenannten essentiellen Cookies gehören bspw. Login- oder Warenkorb-Cookies, die den aktuellen Status speichern oder natürlich auch der Cookie, welcher speichert, welche Cookies ein Besucher akzeptiert hat. Im Cookie Banner sollte schließlich ein Link zur Datenschutzerklärung gesetzt sein, in welcher nochmal ausführliche Informationen zu den verwendeten Cookies zu finden sind.
Das Cookie Banner kannst du dir als Plugin von verschiedenen Anbietern im WordPress installieren. Dabei solltest du aber auch unbedingt darauf achten, dass das Cookie Banner von Haus aus gut und einfach DSGVO-konform zu verwenden ist. Als eine sehr gute Lösung empfehlen wir dir daher das Real Cookie Banner, welches in seiner Grundeinstellung direkt DSGVO-konform angewendet werden kann. Außerdem „warnt“ dich das Plugin bei kritischen Anpassungen davor, eventuell nicht mehr DSGVO-konform zu sein.
‼️ Natürlich gibt es noch einige Details und Auslegungsfragen, wobei wir dazu wieder eine professionelle Rechtsberatung anraten möchten. So muss es auch möglich sein, seine persönliche Cookie-Einwilligung leicht zu widerrufen.

6. DSGVO-konforme Captcha-Dienste

Die meisten von uns kennen Captcha Dienste hauptsächlich von Google als Google reCAPTCHA. Die Ampel-oder Zebrastreifen Auswahl mussten wir alle wohl schon einmal treffen. Das Problem daran ist, dass nach aktuellem Stand der reCAPTCHA Dienst leider nicht DSGVO-konform anwendbar ist, da personenbezogene Daten an Standorte in den USA gesendet werden.

Das sog. Captcha beschreibt einen Test, mit dem festgestellt werden kann, ob der interagierende Nutzer ein Computer oder ein Mensch ist. Das Problem an reCAPTCHA ist, dass Google seine Datenschutzerklärung nicht offen legt, weswegen nicht klar ist, was genau mit den gesammelten Daten passiert. reCAPTCHA kann allerdings durch die Einbindung auf einer Webseite auf alle Cookies zugreifen, um Nutzer möglicherweise auch auf anderen Webseiten zu verfolgen, die nicht zu Google gehören.

Als DSGVO-konforme Lösung empfehlen wir daher Friendly Captcha  mit Sitz in der EU (München). Unseren Recherchen nach zu Urteilen ist Friendly Captcha von Haus aus DSGVO-konform und kann deswegen ohne Bedenken eingesetzt werden. Bei der Verwendung müssen die User auch kein Bildrätsel mehr lösen, da Friendly Captcha ein kryptografisches Rätsel generiert, welches vom jeweiligen Browser, anhand der gesammelten technischen Signale, vollständig im Hintergrund gelöst wird.

7. Benötige ich einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit meinem Hosting-Anbieter?

Eine weitere häufig aufkommende Frage bezieht sich auf die Notwendigkeit eines Vertrags zur Auftragsverarbeitung (kurz AV-Vertrag) mit dem Hosting-Anbieter oder anderen Dienstleistern. Sobald deine Dienstleister in deinem Auftrag personenbezogene Daten verarbeiten, benötigst du einen solchen AV-Vertrag. Das kann beispielsweise dein Webseiten-Hoster sein, der deine E-Mails archiviert, oder dein Newsletter-Serviceanbieter, der die E-Mail-Adressen, Namen und postalischen Adressen deiner Abonnenten verwaltet.

In einem AV-Vertrag sind unter anderem die Art und der Zweck der externen Datenverarbeitung und das Haftungsrisiko geregelt. Zudem stellt der Vertrag sicher, dass der Dienstleister sich DSGVO-konform verhält. Je nach Umfang und Art der externen Datenverarbeitung genügt ein Standard-Vertrag des Anbieters, der beispielsweise Bestandteil der AGBs ist, oder es muss ein individueller Vertrag abgeschlossen werden.


Informationen zu unserem AV-Vertrag findest du in unserem passenden FAQ Artikel: HostPress AV-Vertrag.

8. Fazit

Wie wir aus jüngster Vergangenheit gelernt haben, ist die DSGVO ein sehr sensibles aber zugleich auch wichtiges Thema. Umso wichtiger ist es, das eigene Unternehmen vor Abmahnungen oder weiterführenden Problemen zu schützen, indem wir darauf achten, Plugins und Co. DSGVO-konform zu verwenden.

Auf unserem Blog findest du zusätzlich zu den hier beschriebenen Themen weitere Artikel zur DSGVO-konformen Anwendung verschiedener Plugins, bei welchen Anwendungsbereichen du besonders aufpassen musst und vieles mehr.


Wenn du Probleme oder rechtliche Fragen zur DSGVO hast, raten wir dir zu einer professionelle Beratung bei einem Rechts-Experten.

Mehr Informationen zur DSGVO § findest du hier
Johannes
4 Responses
  1. 5. Benötige ich einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit meinem Hosting-Anbieter?
    Eine weitere häufig aufkommende Frage bezieht sich auf die Notwendigkeit eines Vertrags zur Auftragsverarbeitung (AV-Vertrag) mit dem Hosting-Anbieter oder anderen Dienstleistern. Sobald deine Dienstleister in deinem Auftrag personenbezogene Daten verarbeiten, benötigst du einen solchen AV-Vertrag. Das kann beispielsweise dein Webseiten-Hoster sein, der deine E-Mails archiviert, oder dein Newsletter-Serviceanbieter, der die E-Mail-Adressen, Namen und postalischen Adressen deiner Abonnenten verwaltet.

    Wo findet ich den AV-Vertrag mit Euch?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert