Nun ist es bald ein Jahr her, dass die neue EU-DSGVO mit Stichtag am 25.05.2018 in Kraft getreten ist. Die Panik bei Unternehmen, Website-Betreibern und Webagenturen war groß und es drohte eine riesige Abmahnwelle.

Immer wieder erschienen auch Fälle von Abmahnungen in den Social-Media-Kanälen, auch solche bei denen vermutlich nur ein Geschäft generiert werden sollte.

Auch ich musste mich mehrere Wochen darauf vorbereiten und recherchieren, wie sich die neue EU-DSGVO auf Webseiten auswirkt und welche wesentlichen Vorkehrungen umzusetzen sind, um die nun strengeren Regeln des Datenschutzes einzuhalten. Dabei bin ich sehr vorsichtig vorgegangen – ohne Mut zur Lücke. Bei besonders gravierenden Verstößen beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist. Das kann für Kleinunternehmen schnell den Ruin und das Aus bedeuten. Dieses Risiko wollte ich für mich und meine Kunden nicht eingehen.

Allerdings musste man schnell feststellen, dass die großen Unternehmen dort weniger Angst hatten und teilweise bis heute nicht die neuen Vorschriften zum Datenschutz umgesetzt haben. Die Strafe wäre vermutlich ein Griff in die Portokasse und der Verlust der bislang erhobenen Daten für die Verkaufsstrategie ein höherer finanzieller Nachteil.

Doch was muss für die Einhaltung der DSGVO tatsächlich auf den mit WordPress erstellten Websites umgesetzt werden?

Datenschutzerklärung und Impressum

Jede Website benötigt sowohl ein Impressum als auch eine separate Datenschutzerklärung. Diese Seiten müssen mit maximal 2 Klicks zu erreichen sein.

Die Datenschutzerklärung gibt Auskunft darüber:

  • WELCHE Daten erhoben werden,
  • WARUM diese Daten erhoben werden und
  • WIE LANGE diese Daten gespeichert werden.

Des Weiteren müssen hier der Name und die Anschrift des für den Datenschutz verantwortlichen Website-Betreibers (bzw. Verweis auf das Impressum) und wenn zutreffend, auch die des vom Unternehmen benannten Datenschutzbeauftragten hinterlegt werden.

Unternehmen, bei denen mindestens 10 Mitarbeiter regelmäßig mit der automatisierten Datenverarbeitung (Erhebung und Nutzung) beschäftigt werden, müssen einen zertifizierten Datenschutzbeauftragten nachweisen. Das gleiche gilt für Unternehmen, die besondere Arten von personenbezogenen Daten erheben (wie z. B. über politische/religiöse Überzeugungen, Gesundheit o.ä.). Also auch eine Arztpraxis mit 5 Angestellten.

Für viele stellt sich die Frage, ob sie die Datenschutzerklärung selbst schreiben oder einen Anwalt beauftragen müssen. Oder kann man sich diese nicht sogar einfach von einer anderen Internetseite kopieren? Letzteres würde ich absolut nicht empfehlen, da man erstens gegen das Urheberrecht verstößt und zweitens keine Garantie dafür hat, dass es sich um einen rechtssicheren Inhalt handelt.

Im Netz findet man viele Generatoren für Datenschutzerklärungen und Impressen. Ich persönlich habe mich zu Beginn für eine Agenturmitgliedschaft bei eRecht24 entschieden, um die Websites meiner Kunden mit einer rechtssicheren Datenschutzerklärung zu versorgen. Zudem habe ich hier Zugriff auf viele Vorlagen zum Thema Internetrecht und werde immer über neue Änderungen informiert. Allerdings müssten diese bei Gesetzesänderungen manuell angepasst werden, so dass ich zusammen mit webASmedia ein neues DSGVO-Plugin in „das Sortiment“ mit aufgenommen habe, welches die Inhalte der Datenschutzerklärung und das Impressum bei Änderungen automatisch aktualisiert. Das Plugin kostet nur 5,95 € pro Monat und Website-Betreiber brauchen sich zumindest darum nicht mehr zu kümmern.

 

Google Fonts

Viele Website-Themes greifen auf die riesige Webfont-Datenbank von Google zurück. Ist ja auch praktisch und macht es möglich, mal schnell zwischen verschiedenen Schriftarten zu wechseln. Aber: Bei der Verwendung von Google Fonts wird die IP-Adresse des Besuchers an Google übertragen und Google kann daraus Rückschlüsse ziehen, welche IP welche Websites besucht. Das ist natürlich nicht DSGVO-konform. Aber mal ehrlich: Warum auch sonst sollte Google diese kostenlose Leistung bereitstellen :-D?! Dafür gibt es natürlich eine Lösung: Die Schriftart/-en müssen lokal auf dem eigenen Webserver abgelegt und via CSS zugewiesen werden. Es gibt verschiedene Wege dafür und einige Themes sind schon darauf umgestellt, dass diese über die Theme-Einstellungen hochgeladen werden können. Bislang habe ich für letzteres aber noch nie ein zuverlässiges Ergebnis gehabt. Und um nicht für alles ein Plugin zu nutzen (dies kann sich negativ auf die Performance auswirken), setze ich die Einbindung der Google Fonts weiterhin auf manuellem Wege um.

Hinweis: Wer weiterhin Google Fonts verwendet, sollte dies in seiner Datenschutzerklärung erwähnen. Ob das im Falle einer Abmahnung vor Strafe schützt, bezweifle ich allerdings.

 

Google Maps

Bei Google Maps verhält es sich genauso wie bei den Google Fonts. IP-Adressen werden beim Aufrufen der Seite an Google übertragen. Auch hieraus möchte Google natürlich Nutzungsstatistiken generieren, was ohne Zustimmung des Besuchers natürlich nicht DSGVO-konform ist. Schade um dieses bislang schöne Element auf Kontaktseiten, das zukünftig erst nach Klick, vorherigen Hinweisen über Datenschutz (finde den Satz etwas verwirrend) und einer ausgegrauten Vorschau aktiviert werden muss (2-Klick-Lösung). Ich habe mich daher gegen die Einbindung von Google Maps auf Websites entschieden, auf denen es nicht nötig ist. Und: Die Karte gegen einen Screenshot von Google auszutauschen verstößt zwar nicht gegen den Datenschutz, aber gegen das Urheberrecht und ist daher auch keine Option.

Hinweis auch hier: Wer weiterhin Google Maps verwendet, sollte dies in seiner Datenschutzerklärung erwähnen. Ob das im Falle einer Abmahnung vor Strafe schützt, bezweifle ich allerdings.

Google Analytics

Wenn wir schon bei Kleinigkeiten auf die Google-Services verzichten, dann auch lieber auf den größten Datensammel-Service von Google 😀 – so mein Gedanke. Es gibt inzwischen Mittel und Wege, die Besucherdaten zu anonymisieren und DSGVO-konform zu erheben, aber hierfür verwende ich bevorzugt das Tool matomo (ehemals Piwik). Natürlich ist auch hier ein Hinweis und eine Opt-Out Möglichkeit in der Datenschutzerklärung notwendig. Allerdings befürchte ich, dass es bald erforderlich sein wird, erst die Zustimmung – also ein Opt In – zu erhalten, bevor getrackt werden darf. Das würde natürlich aus Datenschutzsicht mehr Sinn machen, aber auch die Besucherergebnisse verfälschen.

 

YouTube Videos

YouTube ist Google. Und was machen wir nach der DSGVO mit Google Services? Richtig,  wir nutzen sie nicht oder binden sie DSGVO-konform ein. DSGVO-konform heißt in diesem Fall, dass wir wie bei Google Maps eine 2-Klick-Lösung benötigen, die die Übermittlung der IP-Adresse beim Aufrufen der Seite verhindert. Es gibt inzwischen Plugins wie z. B. YouTube Lyte, die diese Funktionen bieten. Dem Video wird ein Vorschaubild und ein Hinweis mit Verlinkung zur Datenschutzerklärung vorgeschaltet. Nur so ist es möglich die YouTube-Videos noch auf den Websites einzubinden. Des Weiteren sollte man einen entsprechenden Passus in der Datenschutzerklärung hinterlegen.

 

Kontaktformulare

Die Erhebung von Daten in Kontaktformularen ist natürlich weiterhin erlaubt. Allerdings ist man als Website-Betreiber für diese Daten verantwortlich. Beispielsweise kann jeder Auskunft über gespeicherte Daten verlangen. Da Kontaktformular-Plugins oftmals die ausgefüllten Formulare speichern, muss sichergestellt werden, dass diese auch wieder manuell gelöscht werden. Des Weiteren benötigt jedes Kontaktformular eine Checkbox (als Pflichtfeld) mit einer Erklärung zum Datenschutz. Auch hier sollte bereits stehen, warum diese Daten erhoben und wie lange diese gespeichert werden. Zusätzlich zu dem Hinweis, sollte an dieser Stelle auch ein Link zur Datenschutzerklärung führen.

 

SSL-Verschlüsselung

Mit Inkrafttreten der DSGVO ist eine SSL-Verschlüsselung für alle Unternehmen Pflicht geworden, die ein Kontaktformular auf ihrer Website verwenden. Hier geht es um die verschlüsselte Übertragung der Daten. Alle bekannten Hoster bieten für ihre Pakete eine SSL-Erweiterung an, die sich zwar einfach installieren lässt, aber die Website muss noch dahingehend angepasst werden, dass auch die Links und Bilder mit https:// und nicht wie zuvor mit http:// angesprochen werden. Ich persönlich achte sogar darauf, dass die strikte Weiterleitung zu https:// aktiviert ist (HSTS).

 

Plugins prüfen

Nicht alle verwendeten Plugins sind DSGVO-konform und wenn man mal ehrlich ist, weiß man gar nicht so genau, welche Daten von den einzelnen Plugins erhoben werden. Ich verlasse mich dabei auf einen Blogbeitrag, der immer wieder aktualisiert wird. Vielen Dank an dieser Stelle an BLOGMOJO für diese tolle Ausarbeitung.

 

Fazit für mich:

Ich habe durch die DSGVO viel dazugelernt. Zuvor habe ich mir nie darüber Gedanken gemacht, dass eine Schriftart oder ein Video Aufschluss über mein Nutzungsverhalten geben können. Aber: Ich persönlich würde es nicht als Bedrohung sehen, dass meine IP getrackt wird, denn. positiv gesehen (ohne Verfolgungswahn), profitiere ich von den zu mir passenden Einkaufsvorschlägen, Ausflugstipps und Videoempfehlungen. Ich sehe das eher als Mehrwert und wer sich im Internet verstecken möchte, der sollte es nicht nutzen.

 

Ist Ihre WordPress Internetseite DSGVO-Konform?

Bei Bedarf analysiere ich Ihre Website und passe diese entsprechend der DSGVO-Richtinien an.

Nehmen Sie Kontakt auf!