DSGVO steht für Datenschutzgrundverordnung und ist eine Verordnung, die den Umgang mit personenbezogenen Daten in der EU regelt. Die Verordnung tritt am 25. Mai 2018 endgültig in Kraft. Die komplette Verordnung findet Ihr hier. Die Verordnung ist übrigens bereits am 24. März 2016 gestartet. Es gab eine 2 jährige Frist zur Umsetzung, welche am 25. Mai abläuft und damit ist die Verordnung ab diesem Tag endgültig anzuwenden. Dieses kurze Video bietet einen guten Überblick zum Einstieg. Weiterhin gilt Sabrina Keese-Haufs als absolute Expertin auf diesem Gebiet und ein Besuch auf Ihrer Webseite lohnt sich sehr. Ein Blick auf den DSGVO Fahrplan von Sabrina Keese-Haufs ist ratsam, bevor Ihr diesen Beitrag weiter durchlest. (PS: Das hier ist keine Werbung und ich kenne Frau Keese-Haufs nicht persönlich.)

Achtung: Ich bin keine Juristin oder Rechtsanwältin und gebe hiermit keinerlei juristischen Rat. Außerdem übernehme ich keine Haftung dafür, dass die Inhalte richtig, aktuell und vollständig sind. Weiterhin übernehme ich keine Haftung für rechtliche Konsequenzen. Für eine umfassende rechtliche Beratung nehmt bitte Kontakt zu einem Anwalt auf.

Es wird Zeit alle WordPress-Seiten abzuschalten…

…NEIN.

An allen Ecken und Enden wird Panik verbreitet. Haufenweise online Angebot zu Kursen und Hilfen im Umgang mit der bösen neuen Verordnung…vielleicht hilft es einfach, Ruhe zu bewahren und einen Blick aufs Wesentliche zu werfen. Denn, ein bewusster Umgang mit Daten kann nicht schaden und wie viele Webseitenbetreiber haben eine Newsletter-Liste mit drei Karteileichen und ein Analytics Tool, welches nie genutzt wird? Hier hilft uns die Verordnung dabei Ballast abzuwerfen.

Und dann werfen wir einfach mal einen Blick auf diejenigen, die hinter den Kulissen von WordPress und Co arbeiten. Ich kann mir nicht vorstellen, dass alle WordPress, Theme- und Plugin-Entwickler jetzt das Handtuch werfen und gut laufende Firmen einfach schließen. Es wird in allen Bereichen an Lösungen gearbeitet und viele gibt es schon jetzt. Schaut man sich den WordPress-Blog an, finden sich schnell Infos zu neuen DSGVO-Konformitätswerkzeugen und die gesamte Community nimmt sich dem Thema an.

Das gleiche wollen wir mit diesem Beitrag tun…also alles wird gut.

Was hat WordPress eigentlich mit dem DSGVO am Hut?

Wenn User auf WordPress Seiten surfen hinterlassen sie Daten. Kommentiert ein User einen Eurer Beiträge, nutzt ein Kontaktformular oder kauft in Eurem WooCommerce Shop ein, werden Daten im Hintergrund gespeichert. Neben diesen offensichtlich gespeicherten Daten, werden im Hintergrund, teilweise unbemerkt, userbezogene Daten verarbeitet. Ein Bespiel dafür sind Cookies, die WordPress automatisch anlegt und auch Informationen, die durch die Nutzung von Google Analytics weitergegeben werden. Hier greift die DSGVO ein und bringt uns dazu Vorgänge transparenter zu machen, den Verbraucher um Erlaubnis zu fragen und gewissenhafter mit Daten umzugehen.

Die organisatorischen Grundlagen

Hier geht es um das DSGVO in WordPRess, deshalb halte ich mich an der Stelle kurz. Einen Datenschutzbeauftragten ernennen, eine Datenschutzerklärung veröffentlichen und von allen Seiten erreichbar machen (z.B. durch die Verlinkung im Footer) sollte zum Standard gehören. Außerdem gilt es ein Verzeichnis für Verarbeitungstätigkeiten anzulegen und technische und organisatorische Maßnahmen zur sicheren Datenverarbeitung, zu dokumentieren.

Es macht Sinn sich eine Liste anzulegen und in jedem WordPress Projekt genau zu überlegen, an welcher Stelle Daten verarbeitet werden. Stellt Euch die Frage, welche Plugins, Anbieter, Dienste oder Tools an das WordPress-Projekt andocken und Daten verarbeiten. Mit all denen gilt es Vereinbarungen zur Auftragsverarbeitung abzuschließen. Eine sehr hilfreiche Liste zum Thema ADV-Verträge findet Ihr hier.

Tipp für Freelancer und kleine Agenturen

Da die Teilnehmer meiner Wordkshops oft entweder selbstständig mit WordPress arbeiten oder kleine Agenturen führen, hier zwei Tipps, die Euch das Leben deutlich erleichtern.

Datenschutzerklärungen

Für kleine Agenturen bietet e-recht24 eine Premium-Mitgliedschaft an. Darüber könnt Ihr für Eure Kunden ein Impressum und die Datenschutzerklärungen, sowohl für die Webseite als auch für Facebook, generieren.

Checkliste für mehr Transparenz

Zusätzlich kann man sich viel Arbeit sparen, wenn man von Beginn an zu jedem Kundenprojekt eine Checkliste anfertigt und diese dem Kunden im Anschluss übermittelt. So spart man sich immer wieder nachzuprüfen, ob zum Beispiel Emojis bereits entfernt wurden und der Kunde hat eine genaue Übersicht über alle getroffenen Maßnahmen. Als Beispiel habe ich eine Checkliste angelegt, die es hier zum kostenfreien Download gibt.

Hoster

Mit dem Hoster sollte man zum einen den ADV-Vertrag abschließen und zusätzlich sollte SSL zum Standard werden. Die meisten Hoster bieten das SSL Zertifikat von Let’s Entcrypt kostenlos an und dieses kann recht einfach im Backend des Anbieters eingebunden werden. Meldet Euch einfach in den Kommentaren zu diesem Beitrag, wenn Ihr hierzu eine Anleitung braucht.

Anpassungen in WordPress

Cookies

Die Kekse, die sich in Form von Textfetzen in dem Browser der User niederlassen, machen vielen im Moment zu schaffen. Da hilft eine Information auf der Webseite, welche den User darüber informiert und auf die Datenschutzbestimmungen verweist. Hier bringen Euch verschiedene Plugins ans Ziel. Drei davon sind EU Cookie Law, WP Cookie Choice und Cookie Notice.

Wer Google Analytics über das Plugin Google Analytics Germanized verknüpft hat, kann die Cookie-Info, seit dem neuen Update, auch direkt über das Plugin einbinden.

Kommentare

Ob der User dazu verpflichtet ist, sich zu registrieren bzw. seine E-Mail Adresse anzugeben, um Kommentare zu veröffentlichen, kannst Du unter “Einstellungen” im Bereich “Diskussion” beeinflussen. Wenn Kommentare in Deinem Blog erlaubt sind, sollte der User den Umgang mit diesen Daten in Form eines Opt-Ins bestätigen. Hierzu gibt es das Plugin WP GDPR Compliance.

(14.11.2018 – Update zum Plugin WP GDPR Compliance: Bitte bringe das Plugin auf den neusten Stand, da Hacker aktuell eine Sicherheitslücke in dem Plugin nutzen. Weitere Infos findest Du in dem passenden Beitrag.)

Außerdem speichert WordPress die IP Adresse der Kommentatoren und das lässt sich mit dem Plugin Remove IP unterbinden. Es ist sinnvoll auch bereits gespeicherte IP-Adressen aus der Datenbank zu löschen.

Benutzer

Die erste Ebene in WordPress, bei der personenbezogene Daten im Spiel sind, ist der Bereich Benutzer. Wer eine Webseite als Visitenkarte für ein Unternehmen anlegt oder kein Mitglieder-Login anbieten möchte, kann hier schon eingreifen und mit einem Klick verhindern, dass neue User sich eigenständig anmelden können. Unter “Einstellungen” findet Ihr dazu den Menüpunkt “Mitgliedschaft”. Wenn Ihr den Haken entfernt, können User sich nicht anmelden und damit werden keine personenbezogenen Daten durch Neuanmeldungen gesammelt.

Avatare

Kommentiert ein User einen Beitrag, zieht sich WordPress automatisch ein Avatar Logo von Gravatar. Auch hier könnt Ihr mit einem Klick den Riegel vorschieben. Unter “Einstellungen” findet man im Bereich “Diskussion”, den Abschnitt “Avatare”. Nimmt man den Haken bei “Avataranzeige” raus, werden die kleinen User-Logos nicht mehr angezeigt.

Emojis

Tippt man Emoji-Tastenkombinationen in Beiträge, Seiten oder Kommentare ein, lädt WordPress automatisch die kleinen Emojis und legt diese über die Tastenkombination. Ein weiterer Moment in dem WordPress externe Inhalte lädt, der Datenschützern nicht gefällt. Hier hilft das Plugin Disable Emojis. Nutzer des Plugins Autoptimize können Emojis unter dem Reiter “Extras” in den Plugin-Einstellungen entfernen.

Google Analytics

Hier macht es Sinn sich zu hinterfragen, wie hilfreich die entsprechenden Daten eigentlich sind. Wer die Informationen von google Analyitcs nicht auswertet, sollte die Anbindung einfach entfernen. Für alle anderen gilt ADV unterschreiben und nach Irland schicken. Anschließend hilft das Plugin Google Analytics Germanized dabei, die Verbindung zum google Konto herzustellen. Dabei sollte man darauf achten, die IP Adresse der User zu anonymisieren und dem Nutzer die Möglichkeit geben dem Tracking per Opt-Out zu widersprechen.

Google Fonts

Google Schriftarten sehen super aus, aber werden leider meist von google Servern geladen und übertragen dabei personenbezogene Daten. Um dies zu unterbinden, bieten manche Themes bereits eine entsprechende Option zur Auswahl in den Theme-Einstellungen. Ist das nicht der Fall, hilft das Plugin Remove Google Fonts References. Achtung: Das Plugin entfernt nicht in allen Themes die Schriftarten. Hier macht es Sinn nach Informationen vom Theme-Enwickler zu googlen und entsprechende Anweisungen zu befolgen.

Keine Sorge, wer die Schriftarten auf den eigenen Server lädt, kann die schönen Typos weiter verwenden und bekommt vom Google Webfont Helper Unterstützung bei der Einbindung.

Kontaktformulare

Kontaktformulare, die z.B. über contact form 7 eingebunden sind, sammeln Daten, welche in Eurem E-Mail Postfach landen und darüber wird aktuell viel diskutiert. Hier macht es Sinn sich genau zu überlegen, welche Daten tatsächlich abgefragt werden müssen und den User mit Hilfe von einem Opt-In über die Art der Datenübertragung und Verarbeitung zu informieren. Zur Umsetzung bietet sich das Plugin WP GDPR Compliance an. Hier ist die DSGVO übrigens sinnvoll, da Webseitenbetreiber gezwungen werden unnötige Informationen nicht abzufragen. Denn kurze und knappe Formulare konvertieren oft deutlich besser als aufgeblasene Datenschleudern.

Noch besser ist die Lösung Kontakformulare ganz zu entfernen und den User direkt über einen Link in sein E-Mail-Programm zu lenken. Das lässt sich ganz einfach so umsetzen:

<a href="mailto:hello@feliciasimon.com">E-Mail senden</a>

 

Social Media Sharing

Grundsätzlich würde ich die Finger von allen social media Inhalten lassen, die automatisch auf der Seite geladen werden. Ich weis es sieht super aus, wenn Instagram Feeds oder Facebook Seiten mit hohen Followerzahlen angezeigt werden, aber dabei haben die Plattformen meist Zugriff auf Daten. Über kurz oder lang wird es bestimmt sinnvolle Helfer geben…aktuell sehe ich noch keine Allzweckwaffe, die wirklich komplett ohne Datenaustausch funktioniert. Teilen Buttons können sehr gut mit dem Plugin shariff wrapper auf der Seite platziert werden. Und Facebook und Co müssen sich vorerst mit einfachen Links abfinden.

YouTube

Wer Youtube Videos einbindet, kann auf den Code zurückgreifen, welcher von Youtube bereitgestellt wird. Dazu unter dem jeweiligen Video auf  “teilen” und anschließend “einbetten” klicken. In dem geöffneten Fenster bietet sich nun die Möglichkeit, den “erweiterten Datenschutzmodus” zu aktivieren. So richtig wasserdicht ist diese Lösung allerdings nicht, da die Videos tortzdem von Google geladen werden. Wer das verhindern möchte, kann mit dem Plugin Embed videos and respect privacy dafür sorgen, dass ein Vorschaubild auf der Seite dargestellt wird. So entsteht erst dann eine Verbindung zu YouTube, wenn der User bewusst auf die Vorschau klickt.

Elementor Page Builder

Der Page Builder von Elementor selbst stellt kein Problem dar, erst wenn Videos oder Maps eingebunden werden, werden Daten übermittelt. Für diejenigen, die den Page Builder nutzen lohnt sich ein Blick auf das zusätzliche Plugin Extra Privacy for Elementor.

Zum Abschluss

Ich hoffe damit ist das ein oder andere sinnvole Tool für Euch dabei. Es gibt bestimmt noch viele andere Wege und eine Vielzahl an zusätzlichen Lösungen. Wenn Ihr noch gute Tipps habt oder die Liste ergänzen wollt, freu ich mich über Nachrichten und Kommentare. Zum Beitrag gibt es eine Checkliste, die mit Google Forms erstellt wurde.

Nochmal zur Info, alle Angaben stellen keine rechtliche Beratung dar, sind ohne Gewähr und ohne Haftung.

Viel Spaß beim Umsetzen und sonnige Grüße aus Berlin.