Wie gestalte ich meine WordPress-Seite DSGVO-konform?

WordPress, DSGVO und Datenschutzerklärung
JohannesVon Johannes|3. März 2021

Die 5 Datenschutz-Basics für dein WordPress

Mit dem Inkrafttreten der Europäischen Datenschutzgrundverordnung (EU-DSGVO) am 25. Mai 2018 hat sich für Webseitenbetreiber vieles verändert. Die DSGVO schafft einen europaweit einheitlichen Standard zum Schutz personenbezogener Daten. Im Übrigen ist DSGVO synonym zu verwenden mit GDPR (General Data Protection Regulation), der Abkürzung des englischen Fachbegriffs für die europäische Regelung.

 

Webseitenbetreiber müssen seither einige Vorgaben beachten, um die eigene Internetseite DSGVO-konform zu gestalten und keine Strafen zu riskieren. Wer jedoch ein neues WordPress-Projekt startet oder noch nicht im Bilde über die wesentlichen Aspekte ist, kann sich hier nochmal einen aktuellen Überblick dazu verschaffen.

Abhängig davon, welche Inhalte und Services du anbietest oder welche Dienste du im Hintergrund nutzt, sind verschiedene Dinge zu berücksichtigen. Im folgenden Artikel möchten wir dir also die häufigsten Fragen rund um das Thema in aller Kürze beantworten. Der Inhalt soll eine gute Grundlage für eine DSGVO-konforme Webseite schaffen.

 

‼️ Achtung vor Abmahnungen bei Google Fonts!

Aktuell sind viele Abmahnungen bzgl. der falschen Einbindung der Google Fonts Schriftarten im Umlauf. Eine Anleitung für eine DSGVO-konforme Einbindung in deine Webseite findest du in unserem Beitrag: Google Fonts DSGVO-konform anwenden.

 

Dieser Beitrag ersetzt keineswegs eine professionelle Rechtsberatung und dient lediglich der allgemeinen Orientierung.

1. Benötige ich eine Datenschutzerklärung?

Auf jeden Fall!

Die DSGVO macht eine Datenschutzerklärung zum unverzichtbaren Bestandteil jedes Internetauftritts. Sie muss wie das Impressum von jeder Seite aus leicht zugänglich sein und bestimmte Informationen enthalten.

So empfiehlt es sich, den Link zur Datenschutzerklärung an gleicher Stelle zu platzieren wie den Link zum Impressum. Denn immer die gespeicherten Verbindungsdaten umfassen IP-Adressen der Besucher. Diese zählen zu den personenbezogenen Daten, weswegen die allgemeine Antwort hier schlicht ja ist. Dies gilt für jeden professionellen Webauftritt, vollständig private Seiten können hier eine Ausnahme darstellen.

 

Diese Datenschutzerklärung informiert unter anderem über Zweck und Umfang der Verarbeitung personenbezogener Daten. Du kommst damit deinen gesetzlichen Informationspflichten nach und gestattest deinen Besuchern, sich hinsichtlich des Datenschutzes zu informieren. Zu den Inhalten gehören Informationen zur Verarbeitung von Daten wie IP-Adressen oder Adressdaten, zum Umgang mit Cookies, zur Verwendung von Analyse-Tools oder Social-Media-Plugins und vieles mehr.

 

Einige Angaben in der Datenschutzerklärungsind zwingend erforderlich.

  • Name und Kontaktdaten des Verantwortlichen oder seines Vertreters
  • Rechtsgrundlage und Zweck der Verarbeitung der Daten
  • Aufklärung über die Rechte der Betroffenen wie bspw. Auskunfts-, Widerspruchs-, Löschungsrecht
  • Angaben zur zuständigen Aufsichtsbehörde
  • Kontaktdaten des Datenschutzbeauftragen (falls vorhanden)
  • und einiges mehr

 

Woher bekomme ich eine Datenschutzerklärung?

Auch wenn die Datenschutzerklärung individuell und einzelfallspezifisch formuliert sein soll, gibt es im Internet viele nützliche und kostenlose Generatoren für einfache Datenschutzerklärungen. In vielen Fällen sind diese automatisiert erstellten und mit spezifischen Daten ergänzten Erklärungen ausreichend. (Übrigens gibt es solche Generatoren auch für die Erstellung eines sachgemäßen Impressums.)

 

Natürlich gibt es daneben auch kostenpflichtige Leistungen im Internet oder man entscheidet sich in Abhängigkeit des Projektumfangs lieber gleich für einen professionellen Datenschutzbeauftragen. Hierzu wirst du leicht über die Suchmaschinen fündig.

2. SSL-Zertifikate: Muss ich meine Internetseiten verschlüsseln?

Ja – Die DSGVO schreibt zwar nicht explizit den Einsatz eines SSL-Zertifikats und die Verschlüsselung der Internetseite vor, verlangt aber einen angemessenen Schutz der übertragenen personenbezogenen Daten. Nach aktuellem Stand der Technik bedeutet das eben genau diese Verschlüsselung.

Durch den Einsatz eines SSL-Zertifikats kann das HTTPS-Protokoll verwendet werden. So können die übertragenen Daten verschlüsselt werden, wodurch ein Abgreifen / „Abhören“ des Datenstroms ist nicht mehr ohne Weiteres möglich. Bei HostPress und vielen anderen Hostinganbietern ist die Einrichtung kostenloser SSL-Zertifikate von Let’s Enrypt in der Leistung inbegriffen.

ssl und https zur verschlüsselung der übertragenen daten
SSL bzw. HTTPS sind auch für SEO wichtig!

Insbesondere, wenn du auf deiner Internetseite personenbezogene Daten erhebst, beispielsweise im Kontaktformular, bei der Newsletter-Anmeldung, beim Login oder beim Online-Shopping, sind der Einsatz eines SSL-Zertifikats und der verschlüsselte Transfer der Daten ein Muss.

3. Wie gestalte ich Formulare DSGVO-konform?

Beliebte Elemente fast jeder Webseite sind Kontaktformulare, über die der Besucher ein Anliegen übermitteln oder mit dem Webseitenbetreiber in Kontakt treten kann. Wie im vorigen Absatz erklärt, ist die Verschlüsselung der übertragenen Daten die Grundlage für ein DSGVO-konformes Formular.

 

Wichtig ist außerdem, dass du bei den abgefragten personenbezogenen Daten den Grundsatz der Datensparsamkeit beachtest. Du darfst keine Pflichtangaben verlangen, die für den Zweck des Kontaktformulars nicht unbedingt erforderlich sind. So benötigst du beispielsweise für eine telefonische Rückrufbitte im Allgemeinen nicht das Geburtsdatum des Besuchers. Sollen dennoch nicht zwingend notwendige Informationen freiwillig abgefragt werden, solltest du darauf achten, dass Pflichtfelder deutlich also solche markiert sind.

 

Vor dem Absenden eines Kontaktformulars sollte außerdem auf die Datenschutzerklärung hingewiesen werden, in der Zweck und Art der Datenverarbeitung genauer erläutert sind.

Mehr Informationen zur richtigen Verwendung von Formularen findest du in unserem Artikel über „Formidable Forms“ – das Formular-Plugin.

4. Was gilt es hinsichtlich des Einsatzes von Cookies zu beachten?

Fast keine Internetseite kommt ohne Cookies aus. Cookies sind kleine Dateien, die beim Aufrufen einer Internetseite auf dem Rechner des Besuchers gespeichert werden. Mit Hilfe der Cookies lassen sich Besucher wiedererkennen, individuelle Inhalte einblenden, User-Aktivitäten nachverfolgen und einiges mehr.

Eine DSGVO-konforme Webseite muss direkt beim ersten Kontakt des Besuchers dessen Einwilligung einholen, dass Cookies eingesetzt werden dürfen. Wo vorher bloß ein Cookie-Banner über den Einsatz informieren musste, wird inzwischen ein sogenannter Cookie-Consent-Banner eingesetzt. Diese müssen über die eingesetzten Cookies informieren und erlauben dem Besucher, individuelle Einstellungen zu treffen, welche Cookies er zulassen oder verbieten möchte. Zu den sogenannten essentiellen Cookies gehören bspw. Login- oder Warenkorb-Cookies, die den aktuellen Status speichern oder natürlich auch der Cookie, welcher speichert, welche Cookies ein Besucher akzeptiert hat.

dsgvo, gdpr, cookies
Auch bei uns gibt es gratis-Cookies 🙂

Im Cookie-Banner sollte schließlich ein Link zur Datenschutzerklärung gesetzt sein, in welcher nochmal ausführliche Informationen zu den verwendeten Cookies zu finden sind. Für den Banner selbst gibt es für WordPress bspw. Lösungen, wie das Plugin Borlabs Cookie oder Real Cookie Banner. Ist dieses korrekt eingerichtet und sind alle Cookies neben der Datenschutzerklärung auch dort sauber hinterlegt, ist die grundsätzliche Pflicht soweit getan.

 

Natürlich gibt es noch einige Details und Auslegungsfragen, wobei wir dazu wieder eine professionelle Rechtsberatung anraten möchten. So muss es auch möglich sein, seine persönliche Cookie-Einwilligung leicht zu widerrufen, es gibt Prinzipien für die Gestaltung des Opt-In und Weiteres.

5. Benötige ich einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit meinem Hosting-Anbieter?

Eine weitere häufig aufkommende Frage bezieht sich auf die Notwendigkeit eines Vertrags zur Auftragsverarbeitung (AV-Vertrag) mit dem Hosting-Anbieter oder anderen Dienstleistern. Sobald deine Dienstleister in deinem Auftrag personenbezogene Daten verarbeiten, benötigst du einen solchen AV-Vertrag. Das kann beispielsweise dein Webseiten-Hoster sein, der deine E-Mails archiviert, oder dein Newsletter-Serviceanbieter, der die E-Mail-Adressen, Namen und postalischen Adressen deiner Abonnenten verwaltet.

 

In einem AV-Vertrag sind unter anderem die Art und der Zweck der externen Datenverarbeitung und das Haftungsrisiko geregelt. Zudem stellt der Vertrag sicher, dass der Dienstleister sich DSGVO-konform verhält. Je nach Umfang und Art der externen Datenverarbeitung genügt ein Standard-Vertrag des Anbieters, der beispielsweise Bestandteil der AGBs ist, oder es muss ein individueller Vertrag abgeschlossen werden.

Dein WordPress ist dir wichtig?

Dann brauchst du einen Hosting-Anbieter, dem du vertrauen kannst

Wir unterstützen dich von Anfang an! Unser Serviceteam löst Probleme und beantwortet Fragen rund um dein WordPress, damit du dich auf dein Geschäft konzentrieren kannst. Wir hören erst auf, wenn du zufrieden bist.

Wir sind für dich da bei
Malware-Befall TV-Kampagnen Lasttests Performance-Tests technischen Fragen

Dein WordPress ist dir wichtig?

Dann brauchst du einen Hosting-Anbieter, dem du vertrauen kannst

Wir unterstützen dich von Anfang an! Unser Serviceteam löst Probleme und beantwortet Fragen rund um dein WordPress, damit du dich auf dein Geschäft konzentrieren kannst. Wir hören erst auf, wenn du zufrieden bist.

Chatte mit uns

Wir sind für dich da bei
Malware-Befall TV-Kampagnen Lasttests Performance-Tests technischen Fragen

Mo – Fr, 8 – 17 Uhr

Termin vereinbaren

Mo – Fr, 8 – 17 Uhr

Antworten & Anleitungen


      

Bekannt aus: