Achtung! Beitrag ist veraltet!

Bitte beachte, dass es sich um einen recht alten Text handelt und dieser nicht mehr auf aktuellem Stand ist.

Ich werde in den nächsten Wochen dazu einen neuen Beitrag veröffentlichen, der dann auf die aktuelle Rechtslage sowie besseren WordPress-Plugins eingeht!

Deine WordPress-Website EU-DSGVO-Sicher machen

Aktuell bahnt sich eine Welle der Ernüchterung über viele Websites mit CMS-Hintergrund: Plötzlich ist die Datenschutzgrundverordnung da!
Nun gut, genau betrachtet waren diese Änderungen bereits 2016 geschlossen worden und eigentlich hätte man genug Zeit gehabt, seine Website auf den aktuell korrekten Stand zu bringen.

Wenn Sie WordPress als CMS-Lösung gewählt haben, müssen Sie – speziell als kommerzieller Anbieter – einiges beachten.

Aber auch Blog-Schreiber sollten hier vorsichtig sein – speziell, wenn Sie Antworten auf Ihre Blogeinträge aktiviert haben und beispielsweise die E-Mail-Adresse als erforderliches Feld für die Kommentar-Veröffentlichung aktiviert haben. Dies benötigt nämlich das aktive Einverständnis des Nutzers!

Was kann ich tun?

Grundsätzlich muss der Endnutzer auf alle technischen Dinge hingewiesen werden, die mit seinen Nutzerdaten passiert. Sei es der Name, die IP-Adresse oder selbst die Cookies.

Ich empfehle unter Mozilla Firefox folgende Addons herunterzuladen und damit Deine eigene Seite zu testen:

  1. Ghostery (zeigt Spionage- und Tracking-Cookies auf Websites an)
  2. Woorank (zeigt an welche Skripte laufen und einiges mehr)

Installiere diese beiden Addons in Firefox einfach über die Mozilla-Addon-Plattform und lade Deine Seite.

Was ist jetzt rechtskonform?

An und für sich muss – laut der Cookie-Richtlinie in der Datenschutzgrundverordnung – die Website erstmal alle Cookies deaktivieren, bis der Besucher aktiv zustimmt. Stimmt der Besucher zu ist das prima. Falls nicht muss dem Besucher dennoch die Seite anzeigbar bleiben, wenn auch in eingeschränktem Umfang. Unter WordPress existiert momentan ein Addon welches sich “EU Cookie Law” nennt. Dieses Addon macht genau das: Es sperrt alle Cookie-Sicherungen sofern diese technisch nicht unbedingt nötig sind und entsperrt diese wenn der Nutzer aktiv zustimmt.

Vor einigen Wochen habe ich auf meinem Blog dazu einen Eintrag veröffentlicht, wo ich das Addon vorstellte.

Grundsätzlich dürfen auch keine Tracking-Cookies von beispielsweise Google Analytics oder dem Webbetreiber automatisch erzeugt werden. Letzteres kann schwierig sein, dies zu verhindern, da Du als Website-Betreiber (sofern Du Deinen Webserver nicht selber hostest) meist keinen Zugriff darauf hast.

Hier hilft nur eine beherzte E-Mail an Ihren Webspace-Provider um herauszufinden, ob Dein Anbieter solche Daten erfasst (wer hat wann die Seite besucht, wo ging er hin, usw.), in welchem Umfang und wer darauf Zugriff hat.

Kurzum: Der Besucher darf nicht verfolgt (“getrackt”) werden, egal bei welchen Belangen – solang es sich um einen Bürger der europäischen Union handelt.

Was sollte ich in die AGBs reinschreiben, bzw. der Datenschutzhinweis enthalten?

Selbst Rechtsexperten sind sich noch nicht ganz einig (und das obwohl bereits die Novelle in Kraft trat).
Ich habe für meine Seite folgende Informationen hinterlegt:

  • Rechtlicher Hinweis, dass Du die Datensicherheit hoch hälst. Gut kommt ein Hinweis auf eine SSL-Verschlüsselung an (https://), ebenfalls die Nennung des Providers und dessen Standort, sofern Du einen externen Webspace-Anbieter nutzt.
  • Cookie-Hinweis: Welche Cookies werden erhoben, warum werden diese erhoben, in welchem Umfang werden diese ausgewertet?
    Weise eventuell darauf hin, dass jeder Benutzer sämtliche Cookies auf allen Websites über den Browser auch abschalten kann. Das ist allerdings eine Einstellungssache des jeweiligen Browsers.
  • Nenne die Plugins, die Daten extern von Deiner Seite weiterleiten:
    Bei meiner Website wäre dies beispielsweise Contact Form 7 oder auch das Ginger – EU Cookie Law Plugin. Diese Plugins werten die Daten aus und entscheiden, ob ein Besucher Inhalte mit Cookies oder ohne erhalten möchte, bzw. beim Versand werden natürlich Onlinelogs generiert, auf die ich aber selber keinen Einfluss habe.
  • Externe Links und sinnvolle Browser-Plugins:
    Dies betrifft beispielsweise Facebook-Links, Google-Produkte wie Webfonts, Analytics, Maps usw. Beachte, dass Du die jeweiligen Datenschutzhinweise auch angibst und verknüpfst. Ich nenne in diesem Zusammenhang beispielsweise das Google-Plugin “dlpage/gaoptout” welches es ermöglicht, die Tracking-Cookies von Google Analytics global auf dem Besucher-Gerät zu deaktivieren.
  • Webshop vorhanden?
    Bei einem Webshop wird es schon schwieriger. Du sollten anführen aus welchen Gründen welche Daten abgefragt werden und in welchem Umfang diese zur Nutzung kommen. Je mehr Daten Du von einer Person anforderst, desto umfangreicher sollte die Erläuterung dazu sein!

Ich verwende die Kommentarfunktion in WordPress, muss ich hier auf etwas achten?

Unbedingt! Vielleicht ist Dir schon aufgefallen, dass – speziell wenn Du Kommentare als moderiert eingestellt hast – die IP-Adresse des jeweiligen Nutzers sichtbar ist.

Ich vewende auf meiner WordPress-Seite das Plugin “Remove Comment IPs” von “Geeky Software”.

Nach kurzer Konfiguration werden keine IP-Adressen hier mehr gesichert.
Außerdem solltest Du in den WordPress-Einstellungen unter dem Menüpunkt Diskussion den Haken bei “Name und E-Mail-Adresse erforderlich” entfernen.
Wie bereits oben kurz erwähnt gilt die E-Mail-Adresse wie auch der Name als persönliche Information und benötigt eine vorhergehende Datenschutzeinwilligung.

Was ist sonst noch zu beachten?

Es ist weiterhin nicht alles bekannt, allerdings werden speziell anfangs wohl kaum die “kleinen” Website-Betreiber überprüft. Nach meinem Gefühl werden wohl eher die Großanbieter die mit einer Unzahl an Daten hantieren zuerst überprüft werden. Speziell Microsoft, Google oder Amazon werden hier wohl eher überprüft werden.

Meine Einschätzung stellt natürlich keinen Freibrief dar um die DSGVO zu ignorieren! Viel mehr ist es angebracht – gerade der “Kleine” – in der nächsten Zeit insbesondere bei den großen Plattformen ab und an reinzuschauen, wie diese Firmen das lösen.
Im Zweifelsfall lasse Dich von einem Rechtsberater der auf Medienrecht spezialisiert ist über die Datenschutzbestimmung drüberschauen.

Abschluss

Ich bin selber keine Rechtsberater und kann daher nur vage Anhaltspunkte und Hilfen bieten. Rechtliche Sicherheit heißt zum Rechtsberater Deiner Wahl gehen und die Datenschutzbestimmung vorbereiten lassen oder selbst zu schreiben und dann prüfen zu lassen.
Ich persönlich bin auf den Umfang der ersten Abmahnwelle von kommerziellen Anwälten gespannt, die sich auf dieses Thema in letzter Zeit spezialisiert haben.

Dein Michael Ebenhofer, Inhaber der Computersystems for you e.U.