WordPress

WordPress und die DSGVO: Darauf müssen Sie achten

Letzte Aktualisierung
1. Dez. 2023

Die EU-Datenschutzgrundverordnung (DSGVO) ist nun schon seit ein paar Jahren in Kraft, doch viele Website-Betreiber haben immer noch damit zu kämpfen. Was genau regelt die Verordnung, welche Anforderungen stellt sie an den Datenschutz – und was müssen Sie tun, um rechtlich auf der sicheren Seite zu sein? Das und mehr klären wir in diesem Artikel.

Top WordPress Hosting 2024
Gesponsert
ab  8,91 €
pro Monat
SiteGround
ab  17,85 €
pro Monat
RAIDBOXES
ab  29,75 €
pro Monat
HostPress
ab  26,28 €
pro Monat
Kinsta
alle anzeigen

DSGVO – was ist das überhaupt?

Bei der Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 in der gesamten EU in Kraft ist, handelt es sich um eine umfassende Verordnung zum Schutz personenbezogener Daten. Sie soll die Art und Weise, wie personenbezogene Daten innerhalb der EU verarbeitet werden, vereinheitlichen und den Menschen mehr Kontrolle über ihre persönlichen Daten geben. Den Gesetzestext finden Sie hier.

Für wen ist die DSGVO relevant?

Die DSGVO betrifft praktisch jede Organisation, die personenbezogene Daten von Personen in der Europäischen Union verarbeitet. Dazu zählen:

  • Unternehmen und Organisationen in der EU: Alle Unternehmen und Organisationen, die in der Europäischen Union ansässig sind, müssen die DSGVO einhalten, wenn sie personenbezogene Daten verarbeiten.

  • Nicht in der EU ansässige Unternehmen, die Dienstleistungen in der EU anbieten: Die DSGVO gilt aber auch für Unternehmen und Organisationen außerhalb der EU, wenn sie in der EU tätig sind oder personenbezogene Daten von EU Bürgern verarbeiten.

Natürlich müssen somit alle Websites, Online-Shop-Plattformen und andere Online-Dienste, die personenbezogene Daten von EU-Bürgern erfassen oder verarbeiten, die Vorschriften der DSGVO befolgen.

Irrtum: „Ich verarbeite doch gar keine personenbezogenen Daten auf meiner Website!“

Jede Internetseite verarbeitet personenbezogene Daten. Selbst eine weiße Webseite verarbeitet mindestens die IP-Adresse des Besuchers durch den Webhosting-Anbieter. Dementsprechend braucht jede Internetseite zwingend eine Datenschutzerklärung, um den Nutzer über diese Art der Verarbeitung aufzuklären.

Was sind personenbezogene Daten?  

Unter personenbezogenen Daten im Sinne der DSGVO versteht man im Allgemeinen folgende Daten von Einzelpersonen:

  • Name und Anschrift

  • Einkommenssituation

  • Berufliche Ausbildung

  • Informationen über Gesinnungen und Orientierungen

  • E-Mail-Adressen

  • Geburtsdatum

  • Gesundheitsdaten

  • Fotos

  • Kauf-, Surf- und Klickverhalten einer IP-Adresse

Grundsätzlich reicht die Möglichkeit der Identifizierbarkeit aus, damit Daten als personenbezogen klassifiziert werden können. Ein Name ist dafür gar nicht zwingend notwendig: Auch wenn ein vermeintlich anonymer Nutzer über ein Pseudonym Informationen an Sie weitergibt, handelt es sich durch die Verarbeitung seiner IP-Adresse – und gegebenenfalls auch durch das Pseudonym – um personenbezogene Daten.

Besonders relevant für Webseitenbetreiber: Auch Kaufverhalten, Surfverhalten und Klickverhalten sind personenbezogene Daten, da die IP-Adresse des Besuchers verarbeitet wird und diese ist schließlich einzigartig. Daher braucht streng genommen jede Webseite eine Datenschutzerklärung, denn vom Hoster wird die IP verarbeitet, was laut DSGVO bereits ein datenschutzrelevanter Vorgang ist.  

Abgrenzung zum Bundesdatenschutzgesetz

In weiten Teilen ersetzt die DSGVO das alte Bundesdatenschutzgesetz, das aber nach wie vor ebenfalls in Deutschland gültig ist. So war es bereits laut Bundesdatenschutzgesetz verboten, personenbezogene Daten zu erheben und zu verarbeiten, sofern keine vorherige Einwilligung vorlag.

Das Thema Informationspflicht und Einwilligung ist also eigentlich nicht erst seit der DSGVO relevant. Allerdings wurde es durch Webseitenbetreiber in der Vergangenheit oft ignoriert und nicht so streng gehandhabt. Der Grund lag schlichtweg darin, dass die Bußgelder für große Unternehmen überschaubar waren.

Die nun möglichen Bußgelder haben sich mit der DSGVO deutlich erhöht (laut TÜV Nord sind bis zu 20 Millionen oder bei Unternehmen bis zu 4 % des weltweiten Konzernumsatzes eines Webseitenbetreibers möglich).

WordPress & die DSGVO

Kommen wir zur Rolle der DSGVO in WordPress-Projekten aller Art. In diesem Kapitel klären wir vor allem vier Fragen:

  • 1.

    Welche Bereiche Ihrer WordPress Seite sind von der DSGVO betroffen?

  • 2.

    Welche Grundsätze sind für die Umsetzung der DSGVO in WordPress relevant?

  • 3.

    Wie erstelle ich eine rechtssichere Datenschutzerklärung?

  • 4.

    Welche Plugins sind bei der Implementierung der DSGVO in WordPress hilfreich?

Welche Bereiche meiner WordPress Seite sind von der DSGVO betroffen?

Die kurze Antwort: im Prinzip alle. Wie bereits erwähnt verarbeitet der Hoster nämlich selbst bei einer leeren Seite die IP-Adresse des Besuchers. Ein Datenschutzhinweis ist somit immer erforderlich.

Zudem benötigt jede Form der Datenverarbeitung auf Ihrer WordPress-Website eine rechtliche Grundlage. Fehlt diese, ist die Verarbeitung der Daten nicht gestattet.

Alle Bereiche Ihrer Website, die datenschutzrechtlich relevant sind, sollten in Ihrer Datenschutzerklärung detailliert und transparent aufgeführt werden. Explizit geht es dabei vor allem um folgende Aspekte:

  • IP-Adressenverarbeitung durch den Hosting-Anbieter
    Die Verarbeitung von IP-Adressen durch Ihren Hosting-Anbieter stützt sich auf das berechtigte Interesse des Websitebetreibers. Dieses Interesse ist grundlegend, da eine Darstellung Ihrer Website ohne die Verarbeitung der IP-Adressen nicht möglich wäre. Expertenmeinungen zufolge genügt es, in der Datenschutzerklärung darauf hinzuweisen.

  • Verarbeitung von Kunden- bzw. Nutzerdaten
    WordPress-Seiten verarbeiten Nutzerdaten so ziemlich überall – von simplen Besucher-Interaktionen bis zur Bestellabwicklung in Online-Shops. Auch bei der Kommentarfunktion eines Blogs werden gegebenenfalls persönliche Daten wie die E-Mail-Adresse verarbeitet. Entsprechend muss auch hier ein Hinweis erfolgen und der Nutzer muss dem Datenschutzhinweis zustimmen. Gleiches gilt für Kontaktformulare.

  • Tracking und Cookies
    Die Verarbeitung von Nutzerdaten durch Tracking auf WordPress-Seiten, wie z. B. das Setzen von Cookies oder Pixel-Tracking, erfordert laut Verbraucherzentrale eine „aktive und informierte“ Einwilligung der Nutzer. Jene muss eingeholt werden, bevor Tracking-Tools aktiv werden. Ausnahmen bestehen für unbedingt notwendige Cookies, die für den grundlegenden Betrieb der Website erforderlich sind.

    Sie müssen Besucher klar über die Art und den Zweck der Datenerfassung informieren, was sich in der Regel durch Datenschutzerklärungen und Zustimmungsbanner oder Pop-ups auf der Website umsetzen lässt.

  • Newsletter
    Für die Zusendung eines Newsletters wird eine Einwilligung benötigt. Diese Einwilligung basiert auf dem Wettbewerbsrecht, nicht auf der DSGVO.

  • Plugins
    Sie müssen einen Überblick darüber haben, welche WordPress-Plugins Sie verwenden, und die Nutzer darüber informieren. Selbst Plugins wie Google Web Fonts sind datenschutzrechtlich relevant, da personenbezogene Daten in Form der IP-Adresse an einen Drittanbieter wie Google übertragen werden.

Falls Sie Daten auf Ihrer Website verarbeiten, für die keine klare Rechtsgrundlage ersichtlich ist, sollten Sie sorgfältig prüfen, ob diese Verarbeitung tatsächlich rechtskonform ist.

Welche Grundsätze sind für die Umsetzung der DSGVO in WordPress relevant?

Um alle Pflichten der neuen DSGVO zu erfüllen, müssen Sie eine Reihe von Grundsätzen einhalten, die nichts mit der WordPress-Installation an sich zu tun haben:

  • Grundsatz der Datensicherheit
    Der Datenverarbeiter muss die Daten entsprechend ihrem Risiko schützen, wobei besonders sensible Daten besondere Aufmerksamkeit benötigen. Achten Sie darauf, welche Administratoren und Autoren in Ihrer WordPress-Installation Zugriff auf personenbezogene Daten haben. Besonders in Webshops können aus Kundenkäufen und Stammdaten sensible Informationen abgeleitet werden.

    Wichtig ist auch die verschlüsselte Übertragung sensibler Daten, wie Zahlungsinformationen. Daher ist ein SSL-Zertifikat für Ihre WordPress Seite unerlässlich, wenn Sie viele personenbezogene Daten verarbeiten.

  • Recht auf Vergessenwerden
    Personenbezogene Daten müssen gelöscht werden, wenn der Zweck für die Datenverarbeitung weggefallen ist. Wenn zum Beispiel ein Kauf in einem Online-Shop abgeschlossen ist und keine rechtliche Aufbewahrungspflicht oder anderer Grund (wie Garantieansprüche) für die Speicherung der Daten mehr besteht, sind diese zu löschen.

    Überprüfen Sie daher regelmäßig, welche Kundendaten in Ihrer WordPress-Datenbank noch gespeichert sein dürfen.

  • Dokumentationspflicht
    Sie müssen die Einhaltung aller Datenschutzverpflichtungen nachweisen können. Dafür muss klar sein, zu welchem Zweck Daten erhoben werden, und dies sollte schriftlich festgehalten werden. Das gilt auch für offensichtliche Fälle wie die Erfassung von Adressdaten in einem Online-Shop für den Warenversand.

  • Kopplungsverbot
    Sie dürfen die Einwilligung zur Datenschutzerklärung oder zum Newsletter-Erhalt nicht mehr mit Goodies verbinden. Kostenlose Zugaben für das Newsletter-Abo (wie beispielsweise ein 5 % Rabatt) sind nicht mehr zulässig.

  • Grundsatz der Datensparsamkeit
    Sie dürfen nur so viele Daten erheben und verarbeiten, wie Sie auch tatsächlich benötigen, um den beabsichtigten Zweck zu erfüllen.

Wie erstelle ich eine rechtssichere Datenschutzerklärung?

Eine umfassende Datenschutzerklärung, die alle relevanten Datenschutzaspekte abdeckt, kann schnell viele Seiten füllen – und das muss sie in der Praxis meist auch. Wir verraten, was unbedingt enthalten sein muss und wie Sie auch ohne großen Aufwand eine gute Datenschutzerklärung auf Ihrer WordPress-Website integrieren können.

Was muss in die Datenschutzerklärung?

Folgende Inhalte müssen Sie in der Datenschutzerklärung Ihrer WordPress-Website unbedingt berücksichtigen:

  • Name und Kontaktdaten des Verantwortlichen
    Die Verantwortlichen und – falls erforderlich – auch der Datenschutzbeauftragte der Website müssen namentlich genannt werden. Letzterer ist notwendig, wenn der Haupt-Aufgabenbereich Ihrer Seite im Sammeln von Daten besteht oder wenn ständig mehr als zehn Mitarbeiter Zugang zu personenbezogenen Daten im Unternehmen haben (das können auch E-Mails sein)

  • Zwecke der Datenverarbeitung und die Rechtsgrundlagen
    Dabei ist wichtig, dass Sie auch die Rechtsgrundlage der Datenverarbeitung nennen – wie zum Beispiel das berechtigte Interesse, das die Verarbeitung der IP-Adresse zum Anzeigen der Webseite rechtfertigt.

  • Hinweise auf Datenübertragung in ein Drittland
    Dies beinhaltet auch Plugins, über die Daten wie IP-Adressen an Unternehmen in Ländern außerhalb der EU übermittelt werden. Das ist zum Beispiel bei Plugins und Tools von Google oder auch Facebook der Fall.

    Wenn Sie also beispielsweise Dienste wie Google Analytics oder Like-Buttons von Facebook nutzen, muss ein entsprechender Hinweis in der Datenschutzerklärung enthalten sein. Auch Dienste wie Mailchimp, bei denen Tracking-Tools zum Einsatz kommen, müssen erwähnt werden.

  • Dauer der Datenverarbeitung, Löschung und Betroffenenrechte
    Ihre Datenschutzerklärung muss einen Hinweis enthalten, wann die erfassten Daten wieder gelöscht werden. Außerdem müssen alle Betroffenenrechte genannt werden (Auskunftsrecht, Löschungsrecht, Datenübertragungsrecht, Widerspruchsrecht, Beschwerderecht bei einer Aufsichtsbehörde usw.)

Datenschutzerklärung auf WordPress einrichten

Den praktischen Teil der Erstellung Ihrer Datenschutzerklärung, nämlich die Einrichtung einer entsprechenden Unterseite auf Ihrer WordPress-Website, macht WordPress ziemlich einfach. Navigieren Sie dafür im WordPress-Dashboard einfach zu Einstellungen > Datenschutz.

Hier können Sie mit einem Klick auf „Erstellen“ automatisch eine Seite zur Datenschutzerklärung einrichten. Dabei haben Sie die Wahl, ob Sie eine komplett neue Unterseite erstellen oder eine bestehende Seite verwenden möchten.

WordPress generiert eine Seite zur Datenschutzerklärung automatisch.

WordPress füllt Ihre Datenschutz-Seite automatisch mit grundlegenden Inhalten, Sie sollten sie jedoch im nächsten Schritt weiter anpassen. Nur so können Sie sicherstellen, dass auch wirklich alle für Ihre Website relevanten Aspekte abgedeckt werden.

Empfehlung: Einen Datenschutzerklärungs-Generator verwenden

Es ist für Normalo-Websitebetreiber kaum möglich, eine Datenschutzerklärung in Eigenregie vollständig und rechtskonform zu verfassen – Umfang und Auskunftspflichten sind schließlich enorm.

Natürlich besteht die Möglichkeit, einen Anwalt mit der Formulierung zu beauftragen. Alternativ gibt es aber auch Generatoren für Datenschutzerklärungen, wie z. B. unter datenschutz-generator.de, in denen die wichtigsten Regelungen bereits enthalten sind. Nur Details, beispielsweise die Zwecke der Datenverarbeitung, müssen manuell ergänzt werden. Dasselbe gilt für die Plugins, die Sie auf Ihrer WordPress-Website verwenden.

Unterm Strich wird der manuelle Aufwand mit einem Generator auf ein Minimum reduziert, was insbesondere kleinen Webseitenbetreibern enorm helfen kann.

Plugins, die bei der Implementierung der DSGVO in WordPress helfen

Neben rechtlichen Herausforderungen gibt es für WordPress-Nutzer auch technische Hürden, die die Einhaltung der Auskunfts- und Informationspflichten erschweren. Beispielsweise ist es nicht immer einfach, ein Pop-up einzurichten, das Nutzer über Cookies oder andere datenschutzrelevante Vorgänge informiert und ihre Zustimmung einholt.

Zum Glück gibt es für WordPress viele Plugins, die diese technischen Herausforderungen einfach und effizient lösen können. Einige Plugins stellen wir Ihnen hier kurz vor (eine Anleitung zur Plugin-Installation bei WordPress finden Sie hier):

1.

WP DSGVO Tools (GDPR)

Beim WP DSGVO Tools Plugin handelt es sich um ein Rundum-Sorglos-Paket für die Umsetzung aller DSGVO-Richtlinien. Es bietet bereits vorformulierte rechtskonforme Texte für die Datenschutzerklärung, die nur angepasst werden müssen, und ermöglicht zudem die konforme Einrichtung von Google Analytics und Facebook-Pixeln.

Darüber hinaus ist das Recht auf Vergessenwerden bereits implementiert und Sie können den Zeitraum für die Datenlöschung selbst festlegen. In der Kommentarfunktion wird eine Checkbox hinzugefügt, die die Zustimmung erfordert, wenn Nutzer Beiträge veröffentlichen. Außerdem gibt es eine rechtssichere Pseudonymisierung, kostenlose Updates und zusätzliche Tipps und Hinweise.

In der Premium-Version kommen zahlreiche Features wie Integrationen von WooCommerce oder BuddyPress oder auch das wichtige Pop-up für Cookies hinzu.

2.

Delete Me

Bei Delete Me handelt es sich um ein sehr einfaches Plugin, das es Nutzern erlaubt, ihr Konto selbst zu löschen.

3.

Cookie Notice

Cookie Notice ist ein kostenloses Plugin, mit dem Sie ein kleines Pop-up erzeugen können, das direkt beim Besuch der Seite angezeigt wird. Anwender müssen dabei dem Datenschutzhinweis zustimmen und damit erlauben, dass Cookies auf ihrem Rechner abgelegt werden dürfen.

Sie können die Nachricht anpassen; zudem gibt es verschiedene Arten von Cookies und individuelle Anpassungsmöglichkeiten. Beispielsweise lässt sich einstellen, dass die Seite nach Akzeptieren der Cookies neu geladen werden soll. Ein Link zur Datenschutzerklärung lässt sich ebenfalls einbauen.

Fazit

Sie betreiben eine WordPress-Website? Dann sind Sie dazu verpflichtet, sich an die Datenschutz-Grundverordnung (DSGVO) zu halten und sicherzustellen, dass personenbezogene Daten der Nutzer korrekt verarbeitet und geschützt werden. Sie müssen die Nutzung dieser Daten in einer umfassenden Datenschutzerklärung transparent darlegen, Einwilligungen von Website-Besuchern für Cookies und Tracking einholen und die Sicherheit von Nutzerdaten gewährleisten.

Glücklicherweise sind Sie bei alldem nicht auf sich allein gestellt. Im WordPress-Dashboard können Sie per Mausklick eine Datenschutz-Seite erstellen und im Anschluss anpassen. Zudem gibt es unzählige Datenschutzerklärungs-Generatoren, mit denen Sie benutzerdefinierte Datenschutz-Texte erstellen können, sowie nützliche WordPress-Plugins.

Top WordPress Hosting 2024
Gesponsert
ab  8,91 €
pro Monat
SiteGround
ab  17,85 €
pro Monat
RAIDBOXES
ab  29,75 €
pro Monat
HostPress
ab  26,28 €
pro Monat
Kinsta
alle anzeigen
Carsten Podszun hat Informatik und Betriebswirtschaft studiert und war 15 Jahre lang selbständig im Einzelhandel tätig. Seit 2014 ist er Berater für Startups, freier Autor und schreibt bei EXPERTE.de rund um die Themen Homepage, Hosting & IT-Security.
Mehr zum Thema