Ihre WordPress-Website EU-DSGVO-Sicher machen

Aktuell bahnt sich eine Welle der Ernüchterung über viele Websites mit CMS-Hintergrund: Plötzlich ist die Datenschutzgrundverordnung da!
Nun gut, genau betrachtet waren diese Änderungen bereits 2016 geschlossen worden und eigentlich hätte man genug Zeit gehabt, seine Website auf den aktuell korrekten Stand zu bringen.

Wenn Sie WordPress als CMS-Lösung gewählt haben, müssen Sie – speziell als kommerzieller Anbieter – einiges beachten.
Aber auch Blog-Schreiber sollten hier vorsichtig sein – speziell, wenn Sie Antworten auf Ihre Blogeinträge aktiviert haben und beispielsweise die E-Mail-Adresse als erforderliches Feld für die Kommentar-Veröffentlichung aktiviert haben. Dies benötigt nämlich das aktive Einverständnis des Nutzers!

Was kann ich tun?

Grundsätzlich muss der Endnutzer auf alle technischen Dinge hingewiesen werden, die mit seinen Nutzerdaten passiert. Sei es der Name, die IP-Adresse oder selbst die Cookies.

Ich empfehle Ihnen unter Mozilla Firefox folgende Addons herunterzuladen und damit Ihre Seite zu testen:

  1. Ghostery (zeigt Spionage- und Tracking-Cookies auf Websites an)
  2. Woorank (zeigt an welche Skripte laufen und einiges mehr)

Installieren Sie diese beiden Addons in Firefox einfach über die Mozilla-Addon-Plattform und laden Ihre Seite.

Was ist jetzt rechtskonform?

An und für sich muss – laut der Cookie-Richtlinie in der Datenschutzgrundverordnung – die Website erstmal alle Cookies deaktivieren, bis der Besucher aktiv zustimmt. Stimmt der Besucher zu ist das prima. Falls nicht muss dem Besucher dennoch die Seite anzeigbar bleiben, wenn auch in eingeschränktem Umfang. Unter WordPress existiert momentan ein Addon welches sich „EU Cookie Law“ nennt. Dieses Addon macht genau das: Es sperrt alle Cookie-Sicherungen sofern diese technisch nicht unbedingt nötig sind und entsperrt diese wenn der Nutzer aktiv zustimmt.

Vor einigen Wochen haben wir auf unserem Blog dazu einen Eintrag veröffentlicht, wo wir das Addon vorstellten.

Grundsätzlich dürfen auch keine Tracking-Cookies von beispielsweise Google Analytics oder dem Webbetreiber automatisch erzeugt werden. Letzteres kann schwierig sein, dies zu verhindern, da Sie als Website-Betreiber (sofern Sie Ihren Webserver nicht selber hosten) meist keinen Zugriff darauf haben.

Hier hilft nur eine beherzte E-Mail an Ihren Webspace-Provider um herauszufinden, ob Ihr Anbieter solche Daten erfasst (wer hat wann die Seite besucht, wo ging er hin, usw.), in welchem Umfang und wer darauf Zugriff hat.

Kurzum: Der Besucher darf nicht verfolgt („getrackt“) werden, egal bei welchen Belangen – solang es sich um einen Bürger der europäischen Union handelt.

Was sollte ich in die AGBs reinschreiben, bzw. der Datenschutzhinweis enthalten?

Selbst Rechtsexperten sind sich noch nicht ganz einig (und das obwohl bereits die Novelle in Kraft trat).

Wir haben für uns folgende Sachen hinterlegt:

  • Rechtlicher Hinweis, dass Sie die Datensicherheit hoch halten. Gut kommt ein Hinweis auf eine SSL-Verschlüsselung an (https://), ebenfalls die Nennung des Providers und dessen Standort, sofern Sie einen externen Webspace-Anbieter nutzen.
  • Cookie-Hinweis: Welche Cookies werden erhoben, warum werden diese erhoben, in welchem Umfang werden diese ausgewertet?
    Weisen Sie eventuell darauf hin, dass jeder Benutzer sämtliche Cookies auf allen Websites abschalten kann. Das ist allerdings eine Einstellungssache des jeweiligen Browsers.
  • Nennen Sie die Plugins, die Daten extern von Ihrer Seite weiterleiten:
    Bei unserer Website wäre dies beispielsweise Contact Form 7 oder auch das Ginger – EU Cookie Law Plugin. Diese Plugins werten die Daten aus und entscheiden, ob ein Besucher Inhalte mit Cookies oder ohne erhalten möchte, bzw. beim Versand werden natürlich Onlinelogs generiert, auf die wir selber keinen Einfluss haben.
  • Externe Links und sinnvolle Browser-Plugins:
    Dies betrifft beispielsweise Facebook-Links, Google-Produkte wie Webfonts, Analytics, Maps usw. Beachten Sie, dass Sie die jeweiligen Datenschutzhinweise auch angeben und verknüpfen. Wir nennen in diesem Zusammenhang beispielsweise das Google-Plugin „dlpage/gaoptout“ welches es ermöglicht, die Tracking-Cookies von Google Analytics global auf dem Besucher-Gerät zu deaktivieren.
  • Webshop vorhanden?
    Bei einem Webshop wird es schon schwieriger. Sie sollten anführen aus welchen Gründen welche Daten abgefragt werden und in welchem Umfang diese zur Nutzung kommen. Je mehr Daten Sie von einer Person anfordern, desto umfangreicher sollte die Erläuterung dazu sein!

Ich verwende die Kommentarfunktion in WordPress, muss ich hier auf etwas achten?

Unbedingt! Vielleicht ist Ihnen schon aufgefallen, dass – speziell wenn Sie Kommentare als moderiert eingestellt haben – Sie die IP-Adresse des jeweiligen Nutzers sehen.
Wir vewenden auf unserer WordPress-Seite das Plugin „Remove Comment IPs“ von „Geeky Software“.
Nach kurzer Konfiguration werden keine IP-Adressen hier mehr gesichert.

Außerdem sollten Sie in den WordPress-Einstellungen unter dem Menüpunkt Diskussion den Haken bei „Name und E-Mail-Adresse erforderlich“ entfernen.
Wie bereits oben kurz erwähnt gilt die E-Mail-Adresse wie auch der Name als persönliche Information und benötigt eine vorhergehende Datenschutzeinwilligung.

Was ist sonst noch zu beachten?

Es ist weiterhin nicht alles bekannt, allerdings werden speziell anfangs wohl kaum die „kleinen“ Website-Betreiber überprüft. Nach meinem Gefühl werden wohl eher die Großanbieter die mit einer Unzahl an Daten hantieren zuerst überprüft werden. Speziell Microsoft, Google oder Amazon werden hier wohl eher überprüft werden.
Meine Einschätzung stellt natürlich keinen Freibrief dar um die DSGVO zu ignorieren! Viel mehr ist es angebracht – gerade der „Kleine“ – in der nächsten Zeit insbesondere bei den großen Plattformen ab und an reinzuschauen, wie diese Firmen das lösen.

Im Zweifelsfall lassen Sie einen Rechtsberater der auf Medienrecht spezialisiert ist über die Datenschutzbestimmung drüberschauen.

Abschluss

Wir sind selber keine Rechtsberater und können daher nur vage Anhaltspunkte und Hilfen bieten. Rechtliche Sicherheit heißt zum Rechtsberater Ihrer Wahl zu gehen und die Datenschutzbestimmung vorbereiten zu lassen oder selbst zu schreiben und dann prüfen zu lassen.

Ich persönlich bin auf den Umfang der ersten Abmahnwelle von kommerziellen Anwälten gespannt, die sich auf dieses Thema in letzter Zeit spezialisiert haben.

Ihr Michael Ebenhofer, Inhaber der Computersystems for you e.U.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü