WordPress und die DSGVO - Darauf müssen Sie achten

Es ist insbesondere für Betreiber einer kleineren WordPress Seite sehr schwierig, die Anforderungen der neuen EU-Datenschutzgrundverordnung (DSGVO) zu erfüllen – oder doch nicht? Wir haben uns mit der Frage befasst, was die DSGVO genau regelt und was dies für Ihre WordPress Webseite bedeutet. Außerdem erhalten Sie wertvolle Praxistipps zur Umsetzung, damit Sie schnellstmöglich handeln und Ihre Webseite DSGVO-konform gestalten können. So beugen Sie nicht nur Abmahnungen vor, sondern schaffen auch Vertrauen bei den Nutzern Ihrer Seite.
Inhalte der DSGVO
Doch Schritt für Schritt – schauen wir uns zunächst an, was genau die DSGVO regelt und warum dies für jeden Webseitenbetreiber relevant ist.
Abgrenzung zum Bundesdatenschutzgesetz
In weiten Teilen ersetzt die DSGVO das alte Bundesdatenschutzgesetz, das aber nach wie vor ebenfalls in Deutschland gültig ist. So war es bereits laut Bundesdatenschutzgesetz verboten, personenbezogene Daten zu erheben und zu verarbeiten, sofern keine vorherige Einwilligung vorlag. Das Thema Informationspflicht und Einwilligung ist also eigentlich nicht erst seit der DSGVO relevant. Allerdings wurde es durch Webseitenbetreiber in der Vergangenheit oft ignoriert und nicht so streng gehandhabt. Der Grund lag schlichtweg darin, dass die Bußgelder für große Unternehmen überschaubar waren. Die nun möglichen Bußgelder haben sich mit der DSGVO deutlich erhöht (bis zu 4% des weltweiten Konzernumsatzes eines Webseitenbetreibers).
Was regelt die DSGVO eigentlich genau?
Seit dem 25.05.2018 gilt die DSGVO im Deutschland und Europa. Bereits seit Mai 2016 ist sie in Kraft. In erster Linie regelt die DSGVO das Datenschutzrecht innerhalb der gesamten Europäischen Union. Konkreter regelt sie den Umgang mit personenbezogenen Daten. Da es sich um eine Verordnung handelt, muss sie nicht in nationales Recht umgewandelt werden, sondern gilt automatisch innerhalb der gesamten EU. Auch für Unternehmen außerhalb der EU gilt die DSGVO, wenn Daten von EU-Bürgern verarbeitet und erhoben werden.
Insbesondere die sehr weitreichenden Informationspflichten sind es, die Webseiten-Betreibern Probleme machen können. Dazu muss man aber zunächst verstehen, was personenbezogene Daten überhaupt sind.
Was sind personenbezogene Daten?
Unter personenbezogenen Daten im Sinne der DSGVO versteht man im Allgemeinen folgende Daten von Einzelpersonen:
Name und Anschrift
Einkommenssituation
Berufliche Ausbildung
Informationen über Gesinnungen und Orientierungen
E-Mail-Adressen
Geburtsdatum
Gesundheitsdaten
Fotos
Kauf-, Surf- und Klickverhalten einer IP-Adresse
Grundsätzlich reicht die Möglichkeit der Identifizierbarkeit aus, damit Daten als personenbezogen klassifiziert werden können. Dies ist besonders für Pseudonyme im Internet interessant. Denn auch wenn ein vermeintlich anonymer Nutzer über ein Pseudonym Informationen über sich preisgibt oder an Sie weitergibt, handelt es sich durch die Verarbeitung seiner IP-Adresse und gegebenenfalls auch durch das Pseudonym um personenbezogene Daten.
Besonders relevant für Webseitenbetreiber: Auch Kaufverhalten, Surfverhalten und Klick-Verhalten sind personenbezogene Daten, da die IP-Adresse des Besuchers verarbeitet wird und diese ist schließlich einzigartig. Daher braucht streng genommen sogar eine weiße Webseite eine Datenschutzerklärung, denn vom Hoster wird die IP verarbeitet, was laut DSGVO bereits ein datenschutzrelevanter Vorgang ist.
Irrtümer zur DSGVO
Nach wie vor gibt es große Unsicherheiten wenn es um die Umsetzung der DSGVO auf Internetseiten geht. Die beiden größten und gefährlichsten möchten wir Ihnen hier nicht vorenthalten, denn vielleicht sind auch Sie bisher der Meinung gewesen, dass Sie die DSGVO auf Ihrer Webseite (noch) nicht umzusetzen brauchen.
Irrtum 1: Es ist noch Zeit, es gibt doch eine Übergangsfrist!
Das ist falsch! Die DSGVO ist bereits seit 2016 in Kraft und seit 2018 gilt sie. Die Schonfrist ist vorbei. Wenn Sie sich bisher nicht mit der Umsetzung befasst haben, wird es höchste Zeit!Irrtum 2: Ich verarbeite doch gar keine personenbezogenen Daten auf meiner Webseite
Jede Internetseite verarbeitet personenbezogene Daten! Selbst eine weiße Webseite verarbeitet mindestens die IP-Adresse des Besuchers durch den Hoster. Dementsprechend braucht jede Internetseite zwingend eine Datenschutzerklärung, um den Nutzer über diese Art der Verarbeitung aufzuklären.
WordPress & die DSGVO
Welche Bereiche meiner WordPress Seite sind von der DSGVO betroffen?
Die kurze Antwort: Im Prinzip alle Bereiche. Denn wie bereits erwähnt, verarbeitet der Hoster selbst bei einer weißen Seite bereits die IP-Adresse des Besuchers. Ein Datenschutzhinweis ist also immer erforderlich.
Wichtig zu verstehen ist, dass für jede Art der Datenverarbeitung auf der WordPress-Seite eine Rechtsgrundlage vorhanden sein muss. Andernfalls dürfen die Daten nicht verarbeitet werden. Welche einzelnen Bereiche auf Ihrer Webseite vorhanden sein können, die Sie datenschutzrechtlich durchleuchten müssen, möchten wir Ihnen hier kurz zusammenfassen, denn letztendlich müssen sie als Datenschutzhinweis bzw. in der Datenschutzerklärung einzeln aufgeführt werden. Außerdem sollten Sie für Fälle, in denen Daten auf Ihrer Seite verarbeitet werden, Ihnen aber keine Rechtsgrundlage einfällt, genau überlegen, ob die Verarbeitung an dieser Stelle tatsächlich rechtmäßig ist.
IP-Adressenverarbeitung durch den Hoster
Die Rechtsgrundlage, auf der die Verarbeitung der IP-Adresse basiert, ist hier schlichtweg das berechtigte Interesse des Betreibers der Seite, denn ohne die Verarbeitung der IP-Adresse ist das Anzeigen der Webseite nicht möglich ist. Ein Hinweis in der Datenschutzerklärung reicht nach Meinung der meisten Experten aus.Verarbeitung von Kunden- bzw. Nutzerdaten
Nutzerdaten werden auf WordPress-Seiten praktisch überall verarbeitet und nicht nur, wenn man in einem Shop eine Bestellung aufgibt und seine Adresse überträgt. Dies kann bei der Bestellabwicklung oder auch einfach bei der Interaktion des Besuchers mit der Seite geschehen. Auch bei der Kommentarfunktion im Blog werden gegebenenfalls persönliche Daten wie die E-Mail-Adresse verarbeitet. Entsprechend muss auch hier ein Hinweis erfolgen und der Nutzer muss dem Datenschutzhinweis zustimmen. Gleiches gilt für das Kontaktformular.Tracking und Cookies
Hier ist die Rechtsgrundlage unklar und es ist gesetzlich noch nicht geregelt, wann Tracking erlaubt ist und wann nicht. Die Stellungnahme der Datenschutzkonferenz sagt: “Sämtliche Tracking-Maßnahmen bedürfen vorheriger Einwilligung“. Entsprechend muss ein Hinweis in Form eines Popups o.Ä. auf der WordPress-Seite auftauchen, bevor ein Cookie auf dem Rechner des Nutzers abgelegt wird oder bevor er in anderer Form wie beispielsweise Pixel-Tracking erfasst wird.Newsletter
Für die Zusendung eines Newsletters wird eine Einwilligung benötigt. Diese Einwilligung basiert die Einwilligung zum Newsletter auf dem Wettbewerbsrecht, nicht auf der DSGVO.Plugins
Sie müssen einen Überblick darüber haben, welche Plugins Sie verwenden und die Nutzer darüber informieren. Über das kostenlose Tool „Ghostery“ können Sie sich einfach anzeigen lassen, welche Plugins Ihre Seite verwendet. Selbst Google Web Fonts sind ein Plugin, das datenschutzrechtlich relevant ist. Datenschutzrechtlich ist das relevant, da personenbezogene Daten in Form der IP-Adresse an einen Drittanbieter wie Google übertragen werden.
Wie muss ich die DSGVO in WordPress konkret umsetzen?

Um alle Pflichten der neuen DSGVO zu erfüllen, müssen eine Reihe von Grundsätzen eingehalten werden, die nichts mit der WordPress-Installation an sich zu tun haben. Bevor Sie sich mit der Umsetzung der Informationspflicht im Rahmen der Datenschutzerklärung befassen, sollten Sie daher sicherstellen, dass alle Grundsätze eingehalten werden.
Folgende Grundsätze sind beim Umgang mit personenbezogenen Daten einzuhalten:
Grundsatz der Datensicherheit
Der Datenverarbeitet muss ein dem Risiko angemessenes Schutzniveau für die Daten gewährleisten. Hierbei kommt es darauf an, dass Sie sensible Daten besonders schützen. Sie müssen daher darauf achten, welche Administratoren und Autoren in Ihrer WordPress-Installation Zugriff auf welche Arten von personenbezogenen Daten haben. Wenn Sie beispielsweise einen Webshop betreiben, lassen sich über die Käufe der Kunden sowie den Stammdaten gegebenenfalls bereits Schlüsse auf sensible Daten ziehen. Außerdem ist wichtig, dass sensible Daten (beispielsweise Zahlungsdaten) stets verschlüsselt übertragen werden. Um ein SSL-Zertifikat für die WordPress Seite kommen Sie daher nicht umhin, wenn Sie viele personenbezogene Daten erfassen und speichern.Recht auf Vergessenwerden
Personenbezogene Daten müssen gelöscht werden, wenn der Zweck für die Datenverarbeitung weggefallen ist. Ist der Kauf in einem Shop beispielsweise abgeschlossen und es gibt keine Aufbewahrungspflicht für die Daten mehr sowie keinen sonstigen Grund zur weiteren Aufbewahrung (wie Garantiezeit o.Ä.), müssen die Daten gelöscht werden! Sie sollten daher regelmäßig prüfen, welche Kundendaten Sie überhaupt noch in der WordPress Datenbank speichern dürfen.Dokumentationspflicht
Es muss die Einhaltung aller Datenschutzverpflichtungen nachgewiesen werden können. Dazu muss man wissen, zu welchem Zweck Daten erhoben werden. Dies sollte schriftlich niedergeschrieben werden. Selbst wenn es sich um etwas so offensichtliches wie die Erfassung von Adressdaten in einem Shop handelt, um Waren zustellen zu können.Kopplungsverbot
Die Einwilligung zur Datenschutzerklärung oder zum Newsletter-Erhalt dürfen nicht mehr mit Goodies verbunden werden. Kostenlose Zugaben für das Newsletter-Abo (wie beispielsweise ein 5% Rabatt) sind nicht mehr zulässig.Grundsatz der Datensparsamkeit
Es dürfen nur so viele Daten erhoben und verarbeitet werden, wie auch tatsächlich benötigt werden, um den beabsichtigten Zweck zu erfüllen.
Datenschutzerklärung
Möchte man alle Grundsätze und Bereiche abdecken, die datenschutzrechtlich relevant sind, ist die Datenschutzerklärung schnell etliche Seiten lang. Das ist sie in der Praxis auch tatsächlich. Was - einfach ausgedrückt - in ihr enthalten sein muss, haben wir im Folgenden für Sie zusammengefasst. Außerdem klären wir Sie darüber auf, wie es kleinere Unternehmen bewerkstelligen können, ohne großen Aufwand eine gute Datenschutzerklärung in die WordPress Seite zu integrieren.
Was muss in die Datenschutzerklärung?
Name und Kontaktdaten des Verantwortlichen
Die Verantwortlichen hinter der Seite müssen namentlich genannt werden und – falls erforderlich – auch der Datenschutzbeauftragte. Dieser ist notwendig, wenn der Haupt-Aufgabenbereich Ihrer Seite im Sammeln von Daten besteht oder wenn ständig mehr als zehn Mitarbeiter Zugang zu personenbezogenen Daten im Unternehmen haben (das können auch E-Mails sein)Zwecke der Datenverarbeitung und die Rechtsgrundlagen
Hier ist es wichtig, auch die Rechtsgrundlage der Datenverarbeitung zu nennen. Beispielsweise das berechtigte Interesse beim Verarbeiten der IP-Adresse, überhaupt eine Webseite anzeigen zu können.Hinweise auf Datenübertragung in ein Drittland
Dies beinhaltet auch Plugins, über die Daten wie IP-Adressen an Unternehmen in Ländern außerhalb der EU übermittelt. Das ist zum Beispiel bei Plugins und Tools von Google oder auch Facebook der Fall. Wenn Sie also beispielsweise Dienste wie Google Analytics oder Like-Buttons von Facebook nutzen, muss ein entsprechender Hinweis unbedingt in der Datenschutzerklärung enthalten sein. Auch Dienste wie Mailchimp, bei denen Tracking-Tools zum Einsatz kommen, müssen unbedingt erwähnt werden.Dauer der Datenverarbeitung, Löschung und Betroffenenrechte
Es muss ebenfalls ein Hinweis vorhanden sein, wann die erfassten Daten wieder gelöscht werden. Außerdem müssen alle Betroffenenrechte genannt werden (Auskunftsrecht, Löschungsrecht, Datenübertragungsrecht, Widerspruchsrecht, Beschwerderecht bei einer Aufsichtsbehörde und so weiter)
Empfehlung: Einen Datenschutzerklärungs-Generator verwenden
Durch den großen Umfang und die sehr weitreichenden Auskunftspflichten ist es für einen Einzelnen kaum möglich, eine Datenschutzerklärung vollständig und rechtskonform zu verfassen. Neben der Möglichkeit, einen teuren Anwalt mit der Formulierung zu beauftragen, gibt es Generatoren für Datenschutzerklärungen, in denen die wichtigsten Regelungen bereits enthalten sind. Allerdings müssen die Zwecke der Datenverarbeitung selbst ergänzt werden. Außerdem müssen die Plugins, die auf der eigenen WordPress Seite verwendet werden, ergänzt werden.
Unterm Strich wird mit einem Generator der manuelle Aufwand auf ein Minimum reduziert, was insbesondere kleinen Webseitenbetreibern enorm helfen kann.
Plugins, die bei der Implementierung der DSGVO in WordPress helfen
Die Auskunftspflicht und Informationspflicht im Rahmen der DSGVO birgt neben rechtlichen auch technische Hürden für den Betreiber einer WordPress-Seite. So ist es nicht jedem Betreiber einer WordPress-Seite ohne weiteres möglich, ein Popup vorzuschalten, das den Nutzer vor dem Ablegen eines Cookies oder sonstigen datenschutzrechtlich relevanten Aktivitäten informiert und um eine Bestätigung bittet. Glücklicherweise gibt es für WordPress zahlreiche Plugins, die verwendet werden können, um die technischen Hürden schnell und einfach zu meistern. Einige Plugins stellen wir Ihnen hier kurz vor. Falls Sie unsicher sind, wie Sie ein Plugin installieren müssen, können Sie dies hier nochmal nachlesen.
WP DSGVO Tools (GDPR)

Beim WP DSGVO Tools Plugin handelt es sich um ein Rundum-Sorglospaket für die Umsetzung aller DSGVO-Richtlinien. Es bietet bereits vorformulierte rechtskonforme Texte für die Datenschutzerklärung, die nur angepasst werden müssen und ermöglicht zudem die konforme Einrichtung von Google Analytics und Facebook-Pixeln.
Darüber hinaus ist das Recht auf Vergessenwerden bereits implementiert und Sie können den Zeitraum selbst festlegen, nach dem Daten gelöscht werden. In der Kommentarfunktion wird eine Checkbox hinzugefügt, die die Zustimmung erfordert, wenn Nutzer Beiträge veröffentlichen. Außerdem gibt es eine rechtssichere Pseudonymisierung, kostenlose Updates und zusätzliche Tipps und Hinweise.
In der Premium-Version kommen zahlreiche Features wie WooCommerce-Integration, BuddyPress Integration oder auch das wichtige Popup für Cookies hinzu. Dies alles ist leider in der Free-Version nicht enthalten.
WP GDPR Compliance

Das Plugin wurde von einer niederländischen Agentur entwickelt und ist in 11 Sprachen verfügbar. Es ist kostenlos nutzbar und ermöglicht die automatische Implementierung DSGVO-konformer Checkboxen für COntact Form 7, Gravity Forms und WooCommerce sowie bei den WordPress-Kommentaren. Außerdem ermöglichst es das Tool, dass Besucher automatisch personenbezogene Daten aus der WordPress Datenbank abrufen können, die sie selbst betreffen. Die Anzahl an Plugins, die WP GDPR unterstütz, sind überschaubar, sodass auf jeden Fall trotz Plugin noch nachgebessert werden muss. Insbesondere, da keine Mustertexte für die Datenschutzvereinbarung oder auch kein Cookie-Popup-Fenster vorhanden sind.
Delete Me

Bei Delete Me handelt es sich um ein sehr einfaches Plugin, das es Nutzern erlaubt, Ihr Konto selbst zu löschen. So können Sie sich nicht mehr nur selbst registrieren, sondern haben auch jederzeit die Möglichkeit, ihr Konto wieder selbst zu löschen.
Cookie Notice

Cookie Notice ist ein sehr hilfreiches Plugin, das dabei hilft, ein kleines Popup zu erzeugen, das direkt beim Besuch der Seite angezeigt wird. Hier muss der Anwender dem Datenschutzhinweis zustimmen und erlaubt damit, dass Cookies auf seinem Rechner abgelegt werden. Die Nachricht kann angepasst werden und es gibt verschiedene Arten von Cookies sowie individuelle Anpassungsmöglichkeiten, zwischen denen Sie als Betreiber der WordPress Seite wählen können. Außerdem sind Möglichkeiten eingebunden, die Seite nach Akzeptieren der Cookies neu zu laden, einen Widerruf durchzuführen oder manuell bestimmte Scripts zu blocken. Ein Link zur Datenschutzerklärung kann ebenfalls eingebaut werden, sodass das Plugin insgesamt sehr umfangreich ausgestattet und sehr empfehlenswert ist. Das beste: Es ist kostenlos.
