Disclaimer: Ich bin weder Juristin noch Datenschutzexpertin. Dieser Artikel stellt weder eine professionelle Rechtsberatung dar, noch ist er rechtsbindend.
Dieser Artikel ist kurz vor Inkrafttreten der neuen Datenschutzgrundverordnung erstmalig erschienen und wurde seitdem nicht überarbeitet. Die grundsätzlichen To-dos sind weiterhin aktuell, allerdings sind ggf. inzwischen weitere Maßnahmen erforderlich geworden (Bsp. Cookie Opt-in) und auch die Auswahl an Plugins, mit denen ihr eure Seite noch einfacher DSGVO-konform einrichten könnt, verbessert sich stetig.
Beim Thema neue DSGVO sträuben sich so manchem die vor Stress Nackenhaare und die Angst vor Abmahnungen geht umher. Gerade Freiberufler, Einzelunternehmer oder Betreiber von privaten Blogs haben nicht die Möglichkeit, für viel Geld einen Juristen oder Datenschutzexperten damit zu beauftragen, ihre Website gemäß den neuen Regelungen der DSGVO anzupassen.
Aus Angst haben viele ihre Seiten und Blogs bereits gelöscht – das muss nicht sein! Auch ohne Jura-Studium und Programmierkenntnissen könnt ihr eure Seite DSGVO-sicher machen.
Inzwischen gibt es unglaublich viele nützliche und hilfreiche Artikel, Tools und Plugins, mit der auch Laien ihre Website DSGVO-konform ändern und gestalten können. Natürlich ist es etwas mühselig und zeitraubend – aber dennoch machbar!
Ich habe mich inzwischen in das Thema eingelesen und eine Übersicht erstellt: Hier erfahrt ihr step-by-step, was ihr alles tun müsst und ich gebe euch hilfreiche Links, Tools und Tipps dazu, wie ihr es umsetzen könnt.
Einen Anspruch auf Vollständigkeit erhebe ich natürlich nicht. Ich habe mich auf die wichtigsten und für mich relevanten Punkte konzentriert. Da ich beispielsweise keinen Newsletter oder Online-Shop betreibe, konnte ich das hier nicht berücksichtigen. Unter den zahlreichen Links findet ihr aber entsprechende Hinweise.
Auch ich habe diese Liste noch nicht bis zum Ende abgearbeitet, da der 25. Mai aber sehr bald an die Tür klopft, möchte ich sie jetzt schon mit euch teilen und euch damit eine Hilfestellung geben. Die Liste muss nicht zwangsläufig in genau der Reihenfolge abgearbeitet werden, ich habe mich jedoch in der Darstellung um eine möglichst logische Abfolge bemüht.
Also legen wir mal los:
SSL-Verschlüsselung
Zunächst solltet ihr eure Seite mit einem SSL-Zertifikat verschlüsseln. Eure Seite wird dann nicht mehr über http:// sondern https:// aufgerufen. Ihr erkennt das auch an dem grünen Schloss-Symbol in der Browser-Leiste. Für viele Seiten ist die Verschlüsselung bereits Pflicht. Warum eine SSL-Verschlüsselung sinnvoll ist und wie ihr sie einrichtet, könnt ihr hier nachlesen:
https://www.content-iq.com/2018/03/20/endlich-ssl-verschluesselt-word-press-https-4-schritte/
https://de.godaddy.com/blog/wordpress-seite-auf-https-umstellen/
https://www.blogmojo.de/wordpress-auf-https-umstellen/
Es ist möglich, kostenlose Zertifikate zu erhalten, z.B. bei https://letsencrypt.org/; alternativ bieten die meisten Webhoster für wenig Geld Zertifikate an – hier gelingt dann auch das Einrichten kinderleicht bzw. fast automatisch.
Habt ihr das Zertifikat installiert, könnt ihr es testen, indem ihr prüft, ob das grüne Schloss-Symbol auf allen Unterseiten erscheint. Falls nicht, liegt das oft daran, dass sich sogenannter Mixed Content auf eurer Seite befindet. Oft handelt es sich dabei z.B. um Bilder oder Links, die noch über http laufen. Um das zu überprüfen, wählt ihr in einem leeren Bereich Rechtsklick –> Untersuchen. Hier wird euch (neben vielen anderen Sachen) evtl. vorhandener Mixed Content angezeigt.
Das löst ihr folgendermaßen: Mit dem Plugin Better Search Replace könnt ihr zunächst alles ausfindig machen, was noch über http läuft und es anschließend durch https ersetzen. Vorsicht: Vorher ein Backup erstellen!
Verträge zur Auftragsdatenverarbeitung (ADV) abschließen
Ihr müsst mit allen Anbietern und Dienstleistern einen sogenannten Vertrag zur Auftragsdatenverarbeitung abschließen.
Aufgepasst: Auch wenn ihr denkt, ihr sendet keine Daten an andere – das lässt sich nahezu nicht ausschließen, denn bereits euer Webhoster oder euer Email-Anbieter gehören dazu! Aber kein Grund zur Panik: Viele dieser Anbieter bieten bereits solche Verträge zum Download an. Unglaublich hilfreich ist dabei diese – regelmäßig aktualisierte – Liste von Blogmojo:
https://www.blogmojo.de/adv-vertraege/
Hier findet ihr Informationen dazu, bei welchen Anbietern ein solcher Vertrag nötig ist und dieser ist – sofern vorhanden – auch direkt verlinkt.
Verfahrensverzeichnis bzw. Verzeichnis von Verarbeitungstätigkeiten
In diesem Verzeichnis wird festgehalten, welche Daten von wem und zu welchem Zweck erhoben werden. Hier findet ihr Muster und Erklärungen dazu:
https://regina-stoiber.com/2018/03/11/datenschutz-verfahrensverzeichnis-nach-artikel-30-dsgvo-mit-muster/
https://regina-stoiber.com/2018/04/22/vorschlaege-fuer-ein-verfahrensverzeichnis-dsgvo/
https://regina-stoiber.com/wp-content/uploads/2018/03/verfahrensverzeichnis-datenschutz-dsgvo-regina-stoiber.pdf
Es gibt dazu noch viele weitere Muster und Vorlagen, ich fand jedoch die Erklärungen von Regina Stoiber am hilfreichsten.
Cookie-Notice einbinden
Der Hinweis „Wir verwenden Cookies…“ ist inzwischen beinahe Standard auf den allermeisten Websites. Auch wenn du denkst, du speicherst keine Cookies: Dein Webhoster, WordPress, installierte Plugins etc. tun es mit Sicherheit.
Wenn du auf das Info-Symbol in der Browser-Leiste klickst, kannst du sehen, ob und welche Cookies auf einer Seite verwendet werden. In den Browser-Einstellungen kann die Speicherung von Cookies deaktiviert generell werden. In der neuen DSGVO wird die Verwendung von Cookies nicht eindeutig geregelt; dies geschieht voraussichtlich in der neuen ePrivacy-Verordnung 2019. Die allgemeine Empfehlung lautet, auf Nummer sicher zu gehen und einen entsprechenden Cookie-Hinweis via Plugin einzubinden und in der Datenschutzerklärung einen entsprechenden Punkt unterzubringen. Siehe z.B. hier: https://www.e-recht24.de/artikel/datenschutz/8451-hinweispflicht-fuer-cookies.html Dafür gibt es zahlreiche Plugins, mit denen du den Hinweis ganz leicht auf deiner Website einblenden kannst. Nutze einfach die Plugin-Suchfunktion.
Plugins auf DSGVO-Kompatibilität überprüfen
Nicht alle Plugins sind mit der neuen DSGVO rechtssicher vereinbar. Einige sollten durch Alternativen ersetzt werden oder müssen in ihren Einstellungen entsprechend angepasst werden.
Hier findet ihr – nochmals ein Dank an die umfangreiche Arbeit von Blogmojo – eine sehr umfangreiche Liste mit allen gängigen Plugins mit Infos zur DSGVO-Kompatibilität sowie eventuellen Alternativen:
https://www.blogmojo.de/wordpress-plugins-dsgvo/
Blogmojo hat ebenfalls eine Liste nützlicher Plugins zur Datensicherheit bei WordPress erstellt: https://www.blogmojo.de/wordpress-datenschutz-plugins/
Da diese Liste so umfangreich ist, möchte ich hier nicht im Detail auf einzelne Plugins eingehen. Arbeitet sie am besten ab und schaut, was für euch relevant ist. Einige Punkte sind jedoch besonders wichtig:
- IP-Adressen dürfen nicht ohne Grund auf unbestimmte Zeit gespeichert werden. Um das zu verhindern, gibt es beispielsweise die Plugins remove-ip oder remove-comment-ips.
- Beim Nutzen des Kontaktformulars auf eurer Website oder beim Absenden von Kommentaren auf eurem Blog werden zwangsläufig auch Daten des Absenders übertragen und gespeichert. Zur Sicherheit ist es empfehlenswert vor dem Absenden eine Checkbox zur Zustimmung einzubinden. Ich nutze diese: https://de.wordpress.org/plugins/wp-gdpr-compliance/.
Mit dem Browser-Plugin Ghostery schützt ihr euch nicht nur vor dem Tracking auf anderen Seiten – es ist außerdem sehr praktisch, um zu überprüfen, was / ob eure Seite im Hintergrund Informationen trackt.
Google Analytics
Zuallererst: Ja, Google Analytics darf weiterhin genutzt werden! Ihr müsst dabei lediglich ein paar Dinge beachten.
Zwingend notwendig ist:
- die Anonymisierung der IP-Adressen
- eine Möglichkeit zum Opt-out (Widerspruch zur Analyse und Speicherung personenbezogener Daten) einrichten
Nutzt du das Plugin Google Analytics Dashboard for WP (GADWP) kannst du die IP-Adresse ganz einfach mit einem Haken in den Einstellungen anonymisieren. Ansonsten findest du hier Anleitungen:
https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/
https://wp-bibel.de/tutorial/google-analytics-ip-adresse-der-besucher-anonymisieren/
https://de.ryte.com/wiki/Google_Analytics_anonymisieren
Der Hinweis und der Link zum Opt-out müssen in deiner Datenschutzerklärung vorhanden sein. Mit dem Plugin https://de.wordpress.org/plugins/google-analytics-opt-out/ kannst du ein entsprechendes Opt-out einrichten. Hier erfährst du, wie das funktioniert: https://wp-ninjas.de/google-analytics-opt-out.
Google Fonts
Kleine Info vorweg: Wenn du denkst, du nutzt keine Google Fonts, weil du diese nie selbst installiert hast, muss ich dich leider enttäuschen. Das dachte ich zunächst auch. Tatsächlich verhält es sich aber so, dass sehr, sehr viele WordPress-Themes automatisch Google Fonts nutzen und somit stetig Nutzerdaten an Google übermitteln. Ob das bei deiner Seite der Fall ist, kannst du wieder mit Rechtsklick –> Untersuchen herausfinden. Wenn unter Sources „fonts.googleapis.com“ und/oder „fonts.gstatic.com“ auftaucht, nutzt deine Seite Google Fonts.
Nun gibt es zwei Möglichkeiten:
1. Du kannst Google Fonts deaktivieren. Dazu gibt es die Plugins https://de.wordpress.org/plugins/remove-google-fonts-references/ oder https://de.wordpress.org/plugins/autoptimize/ (dieses Plugin hat zudem viele andere nützliche Funktionen). Anschließend kannst du dir die gewünschten Schriftarten runterladen und selbst installieren. So umgehst du das Tracking durch Google. Hier findest du Anleitungen dazu:
https://wp-ninjas.de/wordpress-google-fonts
https://www.miss-webdesign.at/google-fonts-in-wordpress-einbinden/
2. Du behältst die Google Fonts und baust einen entsprechenden Abschnitt in deine Datenschutzerklärung mit Berufung auf berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO ein.
Datenschutzerklärung
Nicht zuletzt müsst ihr natürlich eure Datenschutzerklärung aktualisieren (bzw. eine solche erstellen, falls ihr tatsächlich noch keine habt). Der Rechtsanwalt Dr. Schwenke bietet für Privatpersonen und Kleinunternehmer einen kostenlosen, an die neue DSGVO angepassten Generator an: https://datenschutz-generator.de/ Alternativ ist https://www.e-recht24.de/ empfehlenswert, da ist meines Wissens aber nur die kostenpflichtige Version mit der neuen DSGVO kompatibel.
Weitere hilfreiche Links
Die neue DSGVO im Original
https://www.blogmojo.de/dsgvo-linksammlung/
https://www.blogmojo.de/dsgvo-checkliste/
https://www.reisen-fotografie.de/dsgvo-als-blogger/
https://www.blogyourthing.com/dsgvo/
https://www.df.eu/blog/der-8-schritte-plan-wie-sie-die-neue-dsgvo-umsetzen/
https://www.socialmedia-betreuung.de/dsgvo/
Außerdem gibt es eine tolle Facebook-Gruppe zu dem Thema, in dem ihr wirklich alle Fragen stellen könnt: https://www.facebook.com/groups/1474659022643174/.
Ich hoffe, mit dieser Sammlung etwas Licht ins Dunkle zu bringen und der einen oder anderen Person damit weiter helfen zu können.