WordPress und die DSGVO

Symbolbild SSL-Verschlüsselung
WordPress auf HTTPS, SSL umstellen
12. März 2018
DSGVO

Mit 25. Mai 2018 tritt sie nun offiziell in Kraft, die neue Datenschutz-Grundverordnung, kurz auch DSGVO genannt. Damit wird ein einheitliches Datenschutzrecht für die gesamte EU eingeführt und regelt die Verarbeitung von personenbezogenen Daten. Spätestens jetzt sollten alle Webseitenbetreiber handeln, bei Verstößen wird mit Strafen in der Höhe von bis zu 20 Millionen Euro oder bis zu 4 Prozent des Umsatzes gedroht. Neben allgemeinen Fragen zur DSGVO wollen wir uns im speziellen mit WordPress als CMS beschäftigen und hinterfragen welche Dienste als kritisch zu betrachten sind und welche Lösungen in Frage kommen um möglichst datenschutzkonform zu sein.

DSGVO – was ist das und wen betrifft sie?

Die DSGVO wird in Österreich von der Datenschutzbehörde geregelt und wurde schon im Jahr 2016 von der EU beschlossen um die Privatsphäre der Nutzer zu stärken und ihnen mehr Kontrolle über persönliche Daten zu geben. Mehr Transparenz und die Kontrolle der persönlichen Daten steht dabei im Fokus der Regelung. Der Nutzer soll möglichst aktiv entscheiden können, welche Daten er den Unternehmen zur Verfügung stellt und zu welchen Zwecken diese Daten verarbeitet werden.

Die DSGVO betrifft alle, die personenbezogene Daten erheben und verarbeiten. Das sind im Prinzip eigentlich alle Webseitenbetreiber, selbst wenn es keine Kontaktformulare oder Kommentarmöglichkeiten auf der Seite gibt, denn selbst beim Einsatz von Google Analytics, Facebook Pixel oder Werbebanner werden schon personenbezogene Daten eingesammelt und verarbeitet. Damit zählen neben großen Unternehmen oder Onlineshop-Betreibern auch Freelancer, Kleinunternehmer, Blogger oder Vereine zu den Betroffenen. Die DSGVO gilt auch für Nicht-EU-Unternehmen, wenn sie Daten von EU-Bürgern verarbeiten, also beispielsweise der Versand von Newslettern über Anbieter wie z.B. Mailchimp.

Was sind personenbezogene Daten und was ist bei der Verarbeitung zu beachten?

Personenbezogene Daten sind Informationen, die sich auf eine Person beziehen, dazu gehören unter anderem Name, Anschrift, Email-Adresse oder Bankverbindung. Aber auch schon die Speicherung der IP-Adresse zählt zu den personenbezogene Daten.

Bei der Verarbeitung von personenbezogener Daten ist also lt. DSGVO folgendes zu beachten:

  • Daten dürfen nur rechtmäßig und nach Einwilligung des Benutzers erhoben und verarbeitet werden
  • Daten dürfen nur für den erhobenen Zweck genutzt werden und sollen sich auf ein notwendiges Maß beschränken
  • Die Verarbeitung von Daten muss für den Betroffenen nachvollziehbar sein
  • Daten sollen nur so lange wie nötig gespeichert werden
  • Daten müssen vor unbefugter Verarbeitung, Zerstörung oder Verlust geschützt werden
  • Der Benutzer muss seine Daten einsehen, berichtigen und auch löschen können

Die Datenschutzerklärung

Bevor wir uns also eingehender mit WordPress und der DSGVO beschäftigen gilt es als erstes einen Ist-stand bei der der eigenen Webseite zu erheben: Welche Daten werden erhoben und wie verarbeitet, werden diese an Dritte weitergegeben und kann der Nutzer aktiv entscheiden ob er diese Daten hergeben möchte. Dies alles muß in einer Datenschutzerklärung erfasst und auf der Webseite platziert werden. Am besten als eigene Seite wie das Impressum und verlinkt über einen entsprechenden Menüpunkt oder gut erreichbar über die Fußzeile.

Die Datenschutzerklärung muß dabei, je nach verwendeten Diensten und erhobenen Daten, individuell für jede Webseite erstellt werden. Im folgenden geben wir euch einen Überblick über Dienste die evtl. in euer WordPress-Webseite verwendet werden und damit in der Datenschutzerklärung erfasst werden müssen.

Ein Muster einer Datenschutzerklärung gibt auf der Datenschutzseite der WKO, bzw. kann diese auch über Datenschutzgeneratoren wie etwa bei e-recht24.de oder activeMind erstellt werden. Wichtig ist dabei allerdings genau zu überprüfen ob auch alle verwendeten Dienste und Tools angeführt sind, die auf der Webseite zum Einsatz kommen.

Verarbeitungsverzeichnis

Mit dem Anbringen der Datenschutzerklärung auf der Webseite ist es aber nicht getan, die Datenschutzbehörde möchte vom Unternehmer auch ein Verzeichnis der Verarbeitungstätigkeiten haben. Dieses Verarbeitungsverzeichnis kann schriftlich oder elektronisch erstellt werden und dient als Grundlage um den Nachweispflichten der DSGVO nachzukommen. Das Verzeichnis kann von der Datenschutzbehörde jederzeit angefordert werden und es drohen empfindliche Strafen, falls das Verarbeitungsverzeichnis  nicht existiert oder nur unvollständig vorhanden ist.

In dem Dokument werden die Verarbeitungsschritte von personenbezogenen Daten dokumentiert. Daraus muss hervorgehen, welche personenbezogene Daten das Unternehmen mit Hilfe welcher Verfahren auf welche Weise verarbeitet und welche technisch-organisatorischen Maßnahmen zum Schutz dieser Daten dabei getroffen wurden.

Die Wirtschaftskammer stellt diesbezüglich ein entsprechendes Musterformular zur Verfügung, wie auch ein Anwendungsbeispiel für Auftragsverarbeiter mit fiktiven Unternehmensdaten als Unterstützung beim Erstellen des eigenen Verarbeitungsverzeichnisses.

Dieser Artikel kann keinesfalls eine Rechtsberatung ersetzen, noch übernehmen wir eine Gewährleistung für Richtigkeit, Aktualität und Vollständigkeit der Informationen. Der Blogbeitrag stellt den aktuelle Wissensstand unserer Recherchen dar und wird bei neuen Erkenntnissen auch laufend ergänzt bzw. korrigiert. Er soll euch lediglich als Informationsquelle für eure Datenschutzmaßnahmen dienen, wir sind weder offiziell zertifizierte Datenschutzbeauftragte noch Rechtsanwälte.

WordPress und die DSGVO

WordPress und die DSGVO

Kommen wir also im speziellen zu unserem Lieblings-CMS WordPress und den Möglichkeiten dieses fit für die DSGVO zu machen. WordPress selbst ist noch nicht DSGVO-kompatibel, die Entwickler testen allerdings gerade entsprechende Tools um der GDPR (General Data Protection Regulation) zu entsprechen. Diese sollen wohl noch vor dem 25. Mai veröffentlicht werden und sollen den Webseitenbetreiber dabei helfen die DSGVO konform umzusetzen. Im folgenden wollen wir die Dienste in WordPress identifizieren, die problematisch sind und geben auch Tipps wie diese möglichst DSGVO konform einzusetzen sind.

SSL-Verschlüsselung

Eine Verschlüsselung der Webseite über eine SSL-Verbindung betrifft jetzt eigentlich alle Webseiten und sollte dann unbedingt genutzt werden, wenn personenbezogene Daten über die Webseite übertragen werden. Also etwa beim Einsatz von Kontaktformularen, der Anmeldung zu einem Newsletter oder bei Blog-Kommentaren. Eine Verschlüsselung ist zwar von Seiten der DSGVO  keine Pflicht, macht eure Webseite aber sicherer (https:// und grünes Schloß im Browser) und bringt euch auch beim SEO-Ranking einen kleinen Boost. Wir empfehlen also auf jeden Fall eine SSL-Lizenz, die es bei einigen Providern schon kostenlos gibt, bzw. über versch. Anbieter im Netz auch erworben werden kann. Weitere Informationen dazu und wie jetzt genau die eigene WordPress-Webseite auf SSL umgestellt wird haben wir in diesem Blogbeitrag schon beschrieben.

Cookies

Cookies werden bei fast jeder Webseite verwendet, die kleinen Textdateien werden über den Webbrowser auf dem Computer des Besuchers gespeichert und enthalten Informationen zur zur Identifikation des Nutzers. So werden etwa Tracking-Cookies von Google Analytics, von Werbenetzwerken oder auch von Warenkörben bei einem Online-Shop eingesetzt. Da lt. DSGVO die Verarbeitung von Daten nur rechtmäßig erfolgen darf sollte mit Cookies so sparsam wie möglich umgegangen werden.

Auf jeden Fall sollte es auf der Webseite einen Hinweis auf die Verwendung von Cookies geben, die zum einen über die Nutzung informiert, aber auch gleich einen Hinweis und eine Verlinkung auf die Datenschutzerklärung beinhalten sollte. Man sollte den Benutzer auch darauf hinweisen, wie Cookies über den Browser deaktiviert werden können.

Um ein Cookie-Banner in der WordPress-Webseite zu installieren, nutzt man am besten eines der mittlerweile zahlreichen verfügbaren Cookie-PlugIns. Ein sehr beliebtes und auch komfortabel zu konfigurierendes PlugIn wäre etwa „Cookie Notice von dFactory„, wo es auch möglich ist auf die Datenschutzerklärung zu verweisen. Wer ganz sicher gehen möchte kann sich auch das kostenpflichtige PlugIn „Borlabs Cookie“ genauer ansehen, es ermöglicht eine Opt-In Lösung für den Benutzer, sprich er kann auswählen welche Art von Cookies er zulassen möchte.

Google Analytics

Die meisten von euch werden zur Analyse der Webseitenbesucher sicher Google Analytics einsetzten. Um diesen Einsatz rechtssicher zu machen, sollte zum einen natürlich in der Datenschutzerklärung darauf hingewiesen werden und zum anderen auch eine Auftragsdatenverarbeitung mit Google abgeschlossen werden. Einen entsprechenden Vertrag zur Auftragsverarbeitung mit Google könnt ihr als PDF downloaden, und 2x ausgedruckt und unterfertigt an Google Irland schicken (in Deutschland notwendig). Darüber hinaus sollte online in der Google Analytics Verwaltung für jedes Konto die Zusatzvereinbarung abgeschlossen werden (genügt in Österreich). Unter Kontoeinstellungen > Zusatz > Zusatz anzeigen > Speichern diese elektronisch speichern.

In der Datenschutzerklärung sollten auch alle Möglichkeiten angegeben werden, wie sich der Benutzer von der Erfassung von Google Analytics abmelden kann. Eine sog. Google Analytics Opt-Out Option kann dazu über das PlugIn „Google Analytics Opt-Out“ als Link im Text eingefügt werden.

Als weiterer Schritt sollte der eingebundene Trackingcode von Analytics anonymisiert werden, damit wird die IP-Adresse des Nutzers gekürzt.  Wenn du ein PlugIn wie z.B. „Google Analytics Dashboard for WP“ verwendest kann dies in den Einstellungen des PlugIns erledigt werden, oder aber auch bei manueller Einbindung durch eine entsprechende Modifikation des Codes.

Je nach verwendetem Trackingcode ist dieser so zu modifizieren, das anonymizeIp enthalten ist, also den folgenden Code jeweils in der Zeile vor dem pageview hinzufügen bzw. beim Global Site Tag diesen so ergänzen:

Variante für den alten Code (ga.js):

_gaq.push (['_gat._anonymizeIp']);

Variante für Global Site Tag (gtag.js):

ga('set','anonymizeIp',true);

Variante für Universal Analytics (analytics.js):

gtag('config', 'UA-XXXXXXXX-X', { 'anonymize_ip': true });

Formulare

Wer Formulare auf seiner Seite nutzt, sei es eine einfaches Kontaktformular oder die Bestellung in einem Online-Shop, benötigt neben einer SSL-Verschlüsselung auch eine Erlaubnis des Nutzers diese Daten verarbeiten zu dürfen. Das Formular sollte grundsätzlich nur die notwendigsten Daten als Pflichtfeld enthalten (z.B. die Email-Adresse), alle anderen Datenfelder sollten optional sein, sofern sie für die Anfrage nicht zwingend notwendig sind. Damit der Nutzer seine Einwilligung für diese Daten geben kann ist beim Formular eine Checkbox notwendig, die auf die gesammelten Daten hinweist und im besten Fall auch einen Link zur Datenschutzerklärung enthält. Dieses Feld muß ein Pflichtfeld sein, darf aber standardmäßig nicht vorausgewählt sein, wie auch alle weiteren Checkboxen, wie etwa die Anmeldung für einen Newsletter.

Bei einem Formular ist das kein Problem, aber bei vielen Formularen überall die Checkboxen hinzuzufügen kann mühsam sein. Abhilfe schafft hier etwa das PlugIn „WP GDPR Compliance„. Es unterstützt derzeit Contact Form 7, Gravity Forms, WooCommerce und die WordPress Kommentare.

Kommentarfunktion

Wie auch bei Formularen muß der Benutzer auch bei der Kommentarfunktion in einem Blog seine Zustimmung geben. Auch hier ist es notwendig eine entsprechende Checkbox iwe bei den Formularen einzufügen. Auch das kann mit dem Plugin „WP GDPR Compliance“ umgesetzt werden. Allerdings speichert WordPress bei Kommentaren standardmäßig auch die IP-Adresse des Benutzers, was wiederum nicht datenschutzkonform ist. Eigentlich wird die IP ja zur strafrechtlichen Nachverfolgung benötigt, wenn jemand die Kommentarfunktion missbräuchlich verwendet, das ist also eine gewisse Zwickmühle für alle Blogbetreiber.

Wenn man sich entscheidet die IP-Adresse künftig nicht mehr zu speichern, genügt ein kleiner Code-Schnipsel. Diesen fügst Du in Deine functions.php des Child-Themes ein:

function wpb_remove_commentsip( $comment_author_ip ) {
return '';
}
add_filter( 'pre_comment_user_ip', 'wpb_remove_commentsip' );

Wer auch die bisherigen gespeicherten IP-Adressen löschen möchte, kann auf das PlugIn „Remove Comment IPs“ zurückgreifen, es löscht IP Adressen nach 60 Tagen aus der Datenbank (so lange werden diese aus Anti-Spam-Gründen gespeichert)

Newsletter

Wer auf seiner Seite die Anmeldung zu einem Newsletter integriert hat und Aussendungen an die Abonnenten macht, sollte einige Dinge beachten. Zum einen sollte unbedingt das Double Opt-in Verfahren verwendet werden, das heißt der Benutzer bekommt zuerst eine Benachrichtigung per Mail  zugeschickt, wo er erst auf einen Bestätigungslink klicken muß, damit die Anmeldung zum Newsletter erfolgreich ist. Für die Anmeldung sollte weiters nur die Eingabe der Email-Adresse ein Pflichtfeld sein und dieses Formular sollte wiederum eine Checkbox wie schon bei den Formularen enthalten, welches die Einwilligung des Nutzers einholt und auf die Datenschutzerklärung verweist.

Im Newsletter selbst sollte es natürlich jederzeit möglich sein, sich mit einem einfachen Klick wieder abzumelden bzw. sollte der Nutzer auf der Anmeldeseite auch über Zweck und Inhalt des Newsletters, Versandfrequenz und die gespeicherten Daten informiert werden.

Wenn Du für den Versand einen externen Dienst wie etwa Mailchimp oder SendinBlue nutzt, solltest Du mit dem Anbieter einen AV-Vertrag abschließen.

Social Media PlugIns und Sharing-Buttons

In den meisten Webseiten werden entweder Social Media PlugIns verwendet oder zumindest Sharing-Buttons um seine Inhalte besser in sozialen Netzwerken teilen zu können. Problematisch sind diese aber, da sie Verbindungen zu sozialen Netzwerken herstellen und Daten übertragenn, bevor der Nutzer überhaupt auf einen Teilen-Button geklickt hat. Bei vielen Themes sind die Share-Buttons bereits integriert, lassen sich aber in den meisten Fällen deaktivieren. Wir brauchen nämlich ein Lösung bei welcher erst dann Daten übertragen werden, wenn der Besucher die Share-Funktion auch nutzt. Im Netz findet sich dazu ein PlugIn, es nennt sich „Shariff-Wrapper„, welches genu diese Funktionalität bietet und mit fast jedem Theme zusammenarbeitet.

Bei allen anderen Social Media PlugIns, wie etwa die beliebten Facebook Like Boxen, würden wir vorerst von deren Einsatz abraten, bis es hier datenschutzkonforme Lösungen gibt. Auf jeden Fall sollte über den Einsatz von Social Media PlugIns und Sharing-Butons in der Datenschutzerklärung ein entsprechender Passus vorhanden sein.

Weitere WordPress Dienste wie Fonts, Gravatare oder YouTube Videos

Einige in WordPress integrierte Dienste oder von vielen Themes eingesetzte Services in WordPress sind datenschutzrechtlich ebenfalls zu hinterfragen, da sie Verbindungen in das Internet aufbauen und unter Umständen ungefragt Daten übertragen. Dazu gehören u.a. die folgenden:

Gravatare

Wer die Kommentarfunktion in seinem Blog aktiviert hat, wird sie sicher kennen, die Avatar-Bildchen der Nutzer. Dieses Service wird auch „Gravatar“ genannt und von Automattic betrieben, also dem Team der Betreiber von WordPress.com. Der Nutzer registriert sich mit einer bestimmten Email-Adresse bei diesem Service und hinterlegt ein Profilbild, welches dann automatisch bei einem Blogkommentar angezeigt wird. Dazu baut die Webseite aber eine Verbindung zu gravatar.com auf und übertragt Benutzerdaten.

Um nun nach derzeitigem Stand sicher zu gehen, hier datenschutzkonform zu sein, müßte man die Anzeige von Avataren in WordPress deaktivieren, das geht unter Einstellungen > Diskussion > Avatare. Einzige Lösung um trotzdem Profilbilder zu verwenden, wäre ein entsprechendes PlugIn zu verwenden, welches lokale Profilbilder erlaubt, während Gravatar deaktiviert ist wie zum Beispiel „WP User Avatar„.

Emojis

Auch die beliebten kleinen gelben Smileys werden von WordPress nicht lokal geladen, sondern von Servern extern geladen, womit schon wieder Daten übertragen werden.Diese Emojis kann man auf verschiedene Art loswerden, zum einen über das Plugin „Disable Emojis“ oder über das eine oder andere Caching- oder Optimierungs-PlugIn wie etwa „Autoptimize„, welches nebenbei erwähnt noch allerhand andere Optimierungen bei WordPress vornehmen kann um bessere Ladezeiten zu erreichen. Eine letzte Möglichkeit wäre dann manuell einzugreifen und einen entsprechenden Code in der functions.php zu hinterlegen.

Google Webfonts

Wer die schönen Google Webfonts einsetzt, dem muß klar sein, das Laden der Webseite und beim Abrufen der Schrift eine Verbindung zum Google Font-Server hergestellt und dabei die IP-Adresse des Users übertragen wird. Viele der  im Netz angebotenen Themes haben aber zumeist die Google Webfonts standardmäßig integriert. Google wird sich vermutlich im eigenen Interesse etwas einfallen lassen, damit die Fonts datenschutzkonform eingebunden werden können, bis dahin der einzig sichere Weg wäre die verwendeten Fonts herunterzuladen um diese am eigenen Server unterzubringen.

Diese Lösung ist nicht ganz trivial, aber es gibt im Netz bereits einige Anleitungen wie man das bewerkstelligen kann, wie z.B. von den Netzialisten oder bei t3n nachzulesen ist.

Einbetten von YouTube Videos

Wer etwa YouTube Videos auf seiner Webseite einbettet, sei es direkt im Beitrag per <embed> Code über iFrames oder auch ein entsprechendes Video-Modul des verwendeten Themes, sollte wissen das YouTube ebenfalls Cookies setzt. Dieses wird schon beim Aufruf der Seite gesetzt, ohne das der Benutzer das Video überhaupt abspielen muß. Nun gibt es  von YouTube allerdings auch erweiterte Datenschutzfunktion und damit die Möglichkeit Inhalte einzubinden, ohne dass automatisch ein Cookie gesetzt wird.

Wer also ein Video auf der Website einbetten möchte, setzt beim Einbetten-Code von YouTube das Häkchen „Erweiterten Datenschutzmodus aktivieren“. Dadurch verändert sich im eingebetteten Code des Videos die URL youtube.com auf youtube-nocookie.com. Youtube wird dann nicht mehr standardmäßig ein Cookie setzten, sondern erst, wenn der Benutzer das Video abspielt. Sollte das Integrieren von Videos bei eurem verwendetem Theme anders gelöst, ist es unter Umständen notwendig den entsprechenden Template-Code zu modifizieren oder über eine zusätzliche Funktion in der functions.php die URL ersetzen zu lassen.

Ein Hinweis in der Datenschutzerklärung über die obigen Dienste, sofern sie auf der Webseite verwendet werden, sollte natürlich eingefügt werden.

Sonstige WordPress-PlugIns

Es gibt neben den besprochenen PlugIns für WordPress aber natürlich noch jede Menge weiterer Ergänzungen, die vermutlich auf der einen oder anderen Seite zum Einsatz kommen. Dazu zählen auch PlugIns für Caching, Social Media, Mitgliedsbereiche, Security oder etwa Statistiken. Eine Liste mit über 100 PlugIns und ihrem Status gegenüber der DSGVO findet ihr auch im Blogbeitrag „100+ WordPress-Plugins im DSGVO-Check“ bei Blogmojo.

Zusammenfassung und Checklisten

Abschließend gibt es zu sagen, daß die oben angeführten Punkte zwar die meisten Probleme mit der DSGVO beseitigen, aber natürlich nicht 100% alles datenschutzkonform auflösen. Einiges ist bei momentanen Rechtsstand sicher ein Kompromiss und es gibt noch viele andere Dienste, die vielleicht zum Einsatz kommen und die wir nicht behandelt haben. Hier ist jeder Betreiber einer Webseite angewiesen seine Installation auf verwendete PlugIns und Dienste abzuklopfen. Wer z.B. auf Chatdienste und andere zusätzliche Services wie etwa Zahlungsanbieter oder  Terminbuchungsdienste setzt, sollte natürlich noch weitere Maßnahmen in Erwägung ziehen um möglichst datenschutzkonform zu sein.

Im folgenden haben wir für euch noch 2 Checklisten für den schnellen Überblick erstellt, eine beinhaltet die wichtigsten Schritte um WordPress DSGVO-fit zu machen, die andere listet nützliche WordPress-PlugIns auf, die euch bei der Umsetzung unterstützen können:

DSGVO und WordPress – Wichtige Schritte

  • Datenerhebungsanalyse machen
  • Verarbeitungsverzeichnis erstellen
  • SSL-Verschlüsselung für die Webseite aktivieren
  • Datenschutzerklärung verfassen und auf der Webseite verlinken
  • Cookie-Banner auf der Webseite installieren
  • Alle Formulare, auch Kommentarfunktion mit Checkboxen ausstatten
  • Bei Newsletter Double Opt-in Verfahren und Chechbox verwenden
  • Google Analytics datenschutzkonform machen
  • Social Media PlugIns und Sharing-Buttons auf DSGVO prüfen, evtl. deaktivieren
  • Weitere Dienste und Embed-Services abchecken
  • Notwendige Verträge zur Auftragsdatenverarbeitung mit Dienstleistern abschließen

Nützliche PlugIns für WordPress und die DSGVO

linomedia beschäftigt sich schon seit längerem mit der Umsetzung der DSGVO und wir erweitern unseren Wissensstand, vor allem in Bezug auf den datenschutzkonformen Einsatz von Webseiten, insbesondere WordPress, nahezu täglich. Wir werden bei neuen Erkenntnissen selbstverständlich auch diesen Beitrag aktualisieren, bzw. übernehmen wir natürlich auch gerne die oben beschriebenen Änderungen um auch ihre WordPress Webseite möglichst datenschutzkonform anzupassen.

Hannes Linsbauer
Hannes Linsbauer
Hannes Linsbauer ist bei linomedia der kreative Kopf der Agentur und beschäftigt sich bereits seit über 20 Jahren intensiv mit den Themen Webdesign, Werbung und digitale Medien.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.