DSGVO

die Datenschutz-Grundverordnung und WordPress

Am 25. Mai tritt die DSGVO der Europäischen Union verbindlich in Kraft. Jedes Unternehmen, welches personenbezogene Daten verarbeitet, ist von der neuen EU-Richtlinie betroffen. Die Strafen erstrecken sich im Extremfall auf bis zu 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes eines Unternehmens. Personenbezogene Daten umfassen dabei Name, Anschrift, Telefonnummer, Geburtsdatum, Bankverbindung, Email-Adresse, Standortinformation und IP-Adresse. Alleine durch das Speichern einer IP-Adresse sind fast alle Webseitenbetreiber von der neuen Regelung der DSGVO betroffen.

Wer ist von der DSGVO betroffen?

Als Unternehmen bzw. Webseitenbetreiber zählen Freelancer/Freiberufler, Klein- und Großunternehmen, Webseitenbetreiber, Blogger, Unternehmens Niederlassungen, öffentliche Stellen und Vereine. Sobald man u.a. Werbebanner, Affiliate-Links, einen Log-In geschützten Kundenbereich, Adsense oder Analyse-Tools, wie Google Analytics, nutzt, ist man der neuen DSGVO untergeordnet.

Was muss bei der DSGVO beachtet werden?

Bei der Verarbeitung von Daten muss darauf geachtet werden, dass diese nur rechtmäßig erhoben und verarbeitet werden dürfen. Es dürfen nur wirklich relevante Daten (Datensparsamkeit) erhoben werden und diese müssen zu dem erhobenen Zweck genutzt werden. Die Daten dürfen nur so lange wie nötig gespeichert werden und die Verarbeitung muss dokumentiert werden sowie die Sicherheit für die Daten gewährleistet sein. Außerdem muss der Nutzer genau informiert werden, was mit den Daten passiert. Der Nutzer muss die Einwilligung zur Speicherung der Daten geben und die Daten einsehen, berichtigen und auch löschen können.

Die Datenschutz-Grundverordnung verpflichtet, „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ (-> regelmäßige Updates).

Verpflichtungen für Unternehmen durch die DSGVO

  1. alle eingesetzten Systeme und Dienste bezüglich der Vertraulichkeit, Integrität und Belastbarkeit zu überprüfen
  2. nach einem physischen oder technischen Zwischenfall Daten und Zugänge schnell wieder herzustellen
  3. Pseudonymisierung und Verschlüsselung zu standardisieren
  4. über alle getroffenen Maßnahmen jederzeit Nachweis zu erbringen
  5. Die Datenverarbeitung muss nach den Grundlagen der DSGVO rechtmäßig und transparent von statten gehen und für die betroffenen Personen verständlich, nachvollziehbar und eindeutig sein.
  6. Bei einer Datenpanne, z.B. weil die Webseite gehackt wurde, muss dies innerhalb von 72h der zuständigen Aufsichtsbehörde gemeldet werden.

Was bedeutet die DSGVO für Ihre WordPress Website

SSL Verschlüsselung:
Eine SSL Verschlüsselung ist bindend, sobald ein Kontaktformular auf der Webseite ist oder dem Nutzer erlaubt wird, Kommentare zu Einträgen zu schreiben. Zusätzlich wird durch eine SSL Verschlüsselung die Webseite bei Google besser gerankt. Für weitere Details bitte den Hosting-Anbieter kontaktieren.

Hierbei wird die Webseite von http auf https umgestellt. Es wird ein SSL Zertifikat benötigt, welches kostenpflichtig ist, falls der Provider nicht das kostenlose LetsEncrypt SSL unterstützt. Wurde das Zertifikat erstellt, kann man es für die Domain aktivieren. Wurde es aktiviert, muss der WordPress Admin auf SSL umgestellt und die WordPress Adresse geändert werden. Auch die URLs der Webseite müssen ersetzt und eine Umleitung von http auf https eingerichtet werden. Zudem müssen noch alle externen Dienste und Backlinks geupdatet werden.

Google Analytics:
Google Analytics muss rechtskonform verwendet werden. Dies bedeutet, dass ein Vertrag mit Google zur Auftragsverarbeitung abgeschlossen sein muss und dem „Zusatz zur Datenverarbeitung“ zugestimmt wurde und die IP-Adresse der Nutzer muss anonymisiert werden.

Um zu sehen ob man auf der sicheren Seite ist, kann man den Analytics-Code prüfen. In diesem muss folgende Zeile enthalten sein: ga(’set‘,’anonymizeIp‘,true) Dadurch wird die IP-Adresse des Surfer anonymisiert. Zudem sollte man den Besucher die Möglichkeit geben, dass sein Besuch per Opt-Out nicht von Google-Analytics erfasst wird.

Datenschutzerklärung:
Der Inhalt der Datenschutzerklärung muss einfach, klar & deutlich formuliert sein (mit Bezug auf alle individuellen Gegebenheiten der Seite), über das Menü (z.B. als einzelner Punkt) einfach erreichbar sein und darf nicht durch Werbebanner oder ähnliches überdeckt werden.

Es ist wichtig, dass der Inhalt der Datenschutzerklärung auf die individuellen Gegebenheiten der eigenen Seite angepasst ist.

Hosting:
Der Provider der Webseite speichert Zugriffe in den Server-Logs oder speichert/überträgt Mails. Hier sollte ein Vertrag zur Auftragsverarbeitung abgeschlossen werden.

Viele Hoster bieten solche Verträge zur Auftragsverarbeitung bereits Online an. Ansonsten heißt es beim Hoster nachzufragen.

Social Media Plugins:
Es dürfen werden Share- und Like-Buttons noch eine Facebook-Box in der Sidebar sichtbar sein, da so bereits beim Besuch der Seite von einem Nutzer Daten an Social Media Seiten übertragen werden.

Momentan gilt unteranderem Shariff als die sicherste Lösung. Es ist allerdings noch nicht endgültig geklärt, ob die Shariff Lösung zu 100% Rechtskonform ist. Mit dem Plugin Shariff Wrapper können Social Media Sharing-Buttons an verschiedenen Stellen auf der Webseite eingestellt werden ohne das eine automatische Verbindung zu einer der Social Media Seiten hergestellt wird.

Kontaktformular:
Formulare müssen verschlüsselt (SSL) sein und der Absender über die Verwendung der Daten informiert werden. Zu empfehlen ist eine Checkbox zum Abhaken (mit Erklärungstext), bei welcher der Absender eine Erlaubnis zur Verwendung der Formulardaten erteilt.

Die sicherste Lösung ist, dass eine Checkbox mit dem dazugehörigen Einwilligungstext zur Nutzung der Daten als Pflichtfeld angelegt wird. Hierfür kann zum Beispiel das Plugin WP GDPR genutzt Compliance genutzt werden.

Kommentare:
Auch bei Blog-Kommentaren sollte der Absender via Checkbox seine Zustimmung erklären. Ebenfalls sollte darauf geachtet werden, dass die IP Adresse von Nutzern, welche z.B. von Wordpress immer gespeichert wird, nach einem bestimmen Zeitraum gelöscht wird. Eine Speicherung der IP Adresse sollte grundsätzlich vermieden werden, ist aber relevant zur strafrechtlichen Verfolgung bei beleidigenden Kommentaren.

Um die IP-Adresse nicht mehr zu speichern, kann man folgenden Code-Schnipsel in den Theme-functions.php oder in die custom-functions.php:
function wpb_remove_commentsip( $comment_author_ip ) {

return “;

}

add_filter( ‚pre_comment_user_ip‘, ‚wpb_remove_commentsip‘ );
Oder das Plugin Remove Comments IPs nutzen, welches die IP Adressen automatische nach 60 Tagen löscht.

Newsletter:
Für Newsletter ist das Double Opt-in Verfahren schon seit geraumer Zeit verpflichtend. Es dürfen nur noch die wirklich relevanten Informationen als Pflichtfeld erhoben werden. Wird ein Newsletter über externe Dienste versendet, gelten weitere Verpflichtungen (innerhalb der EU Vertrag zur Auftragsverarbeitung, außerhalb der EU gelten weitere Bestimmungen).

Das Double Opt-in Verfahren ist ein ausdrückliches Zustimmungsverfahren. Hierbei muss der Endverbraucher per SMS, E-Mail oder Telefon die Werbekontaktaufnahme explizit bestätigen.

Services von Drittanbietern:
Externe Service von Drittanbietern sollten generell vermieden werden, da Drittanbieter alle Daten von Nutzern speichern können. Neben Social Media Button oder Analytic Tools ohne rechtliche Absicherung zählen auch Drittanbieter, wie z.B. Gravatar Anbieter (Nutzerbilder bei Blogkommentaren) oder Webfonts (Google Schriftarten), dazu (und noch viele mehr).

Um das Problem mit Webfonts zu umgehen, kann man die Schriftarten vorher Lokal auf dem Server abspeichern (vorher die Lizenzbedingungen auf Urheberrecht prüfen) oder andere Systemschriften nutzen. Die Anzeige von Avataren kann man unter den Einstellungen bei WordPress ausstellen. Bei anderen Drittanbietern muss andere Sachen berücksichtigen.

Cookies:
Es sollten nur wirklich relevante Cookies verwendet werde, wie z.B. ein Warenkorb oder ein Mitgliederbereich. Man sollte generell vorsichtig mit Cookies sein. In der Datenschutzerklärung sollte der Besucher genau über die Nutzung von Cookies aufgeklärt und ein Cookie-Banner genutzt werden. Zum nächsten Jahr wird dieser Punkt durch eine neue ePrivacy-Verordnung genauer geklärt.

Der Einsatz von Cookies ist im grauen Bereich und basiert auf einer Interessensabwägung des Seiteninhabers: „…zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.“ -Artikel 6 Abs. 1 Satz 1
Mit dem Plugin Cookie Consent kann man einen einfachen Cookie-Hinweis setzen. Möchte man weitere Maßnahmen treffen, gibt es noch einige weitere kostenlose und kostenpflichtige Cookie Plugins.

Dokumentationspflicht:
Sobald Daten der Webseite durch Dritte für das Unternehmen verarbeitet werden, muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden (z.B. Provider, Google Analytics oder Newsletter).
Zudem muss ein Verzeichnis der Verarbeitungstätigkeiten* angelegt werden (ersetzt die DVR Meldung). In diesem muss u.a. ausgewiesen werden, was mit den persönlichen Daten gemacht wird, wer der Ansprechpartner/Verantwortlich (plus Kontaktdaten) und ggf. Datenverantwortliche für Nachfragen ist.

Für das Verzeichnis der Verarbeitungstätigkeiten gibt es kostenlose Vorlagen, zum Beispiel von der WKO https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Dokumentationspflicht.html.

* Grundsätzlich gibt es Ausnahmen von der DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten für Unternehmen mit weniger als 250 MitarbeiterInnen, aber sobald personenbezogene Daten regelmäßig verarbeitet werden, ist die Ausnahme nicht mehr gültig. Grundsätzlich trifft die neue DSGVO jedes Unternehmen, welches im Internet mit einer Webseite tätig ist.

Wordpress Plug-Ins:
Diese müssen insofern überprüft werden, ob sie personenbezogene Daten speichern, Cookies setzen oder eine Verbindung zu Dritten herstellen.

Dies kann man mit den Browser Tools überprüfen. Dabei kann man unter „Network“ nachsehen, welche Verbindung die Seite herstellt. Unter „Application“ wird angezeigt, welche Cookies genutzt werden.

Mitarbeiter Daten:
Der Mitarbeiterdatenschutz wird durch die DSGVO umfangreicher geregelt und Daten der Mitarbeiter sollen nur dann verarbeitet werden, wenn dies erforderlich ist.

Auch mit den Mitarbeiter Daten muss ab jetzt sensibler umgegangen werden. Neben einer Einwilligung und einem Vertrag zur Nutzung der Daten, muss für das Unternehmen auch ein berechtigtes Interesse zur Nutzung vorhanden sein. Mitarbeiter müssen über die Nutzung der Daten informiert werden, haben ein Recht auf Änderung, Einsicht, Datenübertragung, Einschränkung der Verarbeitung und Löschung. Zudem ist eine Speicherungsfrist einzurichten.

Folgeabschätzung:
Falls ein hohes Risiko für die Rechte und Freiheiten der Personen durch die Verarbeitung der Daten besteht, muss eine Datenschutz-Folgeabschätzung unternommen werden.

Hierbei muss eine Beschreibung der geplanten Verarbeitungsvorgänge und Zwecke angegeben werden, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Zwecke, Bewertung der Risiken der Rechte von den betroffenen Personen und die zur Bewältigung geplanten Abhilfemaßnahmen, falls etwas passiert.

Wiederherstellung von Daten:
Kommt es zu einem Zwischenfall, muss gewährleistet sein, dass die Daten und Zugänge wieder möglichst schnell hergestellt werden.

Es ist relevant regelmäßig Backups zu machen, um Daten im Fall eines Verlustes schnellst möglich wiederherstellen zu können. Gleichzeitig gilt der Grundsatz der Speicherbegrenzung.

Diese Punkte stellen grundsätzliche die wichtigsten, wenn auch nicht alle, Aspekte der neuen DSGVO dar. Für weitere Fragen bitte den Hosting-Anbieter kontaktieren. Unter https://dsgvo.wkoratgeber.at/ ist nachprüfbar, wie DSGVO konform das Unternehmen bereits ist.