Seit dem 25. Mai 2018 ist die Datenschutzgrundverordnung der EU offiziell in kraft. Ihre Umsetzung und Ausarbeitung ist allerdings so komplex, dass sie zu einem enormen Chaos in ganz Europa geführt hat. Der Wahnsinn ging soweit, dass sich ganze Vereine aufgelöst haben und tausende Blogs aus Angst vor Konsequenzen offline gingen. Bevor wir zur DS-GVO und WordPress kommen, ein wenig Hintergrundwissen.
Um was geht es bei der DS-GVO?
Die Verordnung ist so komplex, dass ich nicht ins Detail gehen möchte. Hier das Wichtigste, was man dazu wissen muss:
- Die Verordnung soll die Nutzer vor Datenkraken à la Facebook und Google schützen.
- Sie verlangt Transparenz bezüglich den Daten, die durch Webseiten und Social Media erhoben werden.
- Die Daten müssen jederzeit einsehbar und löschbar sein.
- (Google) Analytics sollten anonymisiert werden oder es muss die Möglichkeit bestehen, das Sammeln der Daten zu unterbinden.
- Es können Bussgelder bis zu 20 Mio. Euro ausgesprochen werden. Bussen müssen aber immer Verhältnismässig sein.
- Die Schweiz ist nicht Teil der EU und verfügt über eine eigene Datenschutzverordnung (die momentan in der Revision ist).
- Die DS-GVO schütz alle EU-Bürger. Wer in der Schweiz also Geschäfte mit der EU macht oder dessen Inhalt oder Angebot für EU-Bürger zugänglich ist, fällt unter die Verordnung.
- Vor allem in Deutschland sind Abmahnungen ein riesen Geschäft. Bei einem entsprechenden Brief immer Kritisch bleiben und am besten vom eigenen Anwalt prüfen lassen.
Was ist das Problem der DS-GVO?
Die DS-GVO ist so komplex, dass die kleinen Blogs und Betriebe kaum durchblicken und total verunsichert sind. Die grossen Firmen wie Facebook und Google haben ganze Armeen an Anwälten, die kein Problem haben, die Verordnung zu durchleuchten und alle Schlupflöcher zu finden. Darüber hinaus zwingen Facebook und Google einen einfach dazu, ihre Datensammelwut zu akzeptieren, da man sonst ihre Dienste nicht mehr nutzen kann. Das wäre bei Facebook unter anderem WhatsApp, Instagram, Facebook Messanger und natürlich das soziale Netzwerk selber und bei Google ist es die Suchmaschine, Youtube, Google+, GMail, Docs, Picasa, Google Fonts, JotSpot, Android, reCAPTCHA, Google Analytics, Google AdWords und Waze. Viel Glück im Netz ohne diese Dienste. Dazu kommen die News, die Shops und die Unterhaltung. Die DS-GVO hat also die Grossen kaum berührt und die Kleinen so verunsichert, dass seit dem 25. Mai ein riesen Chaos herrscht. Momentan versuchen sich alle vor dem zu schützen, was eigentlich sie schützen sollte.
Was geht das die Schweiz an?
Als Schweizer wäre es einfach zu sagen, dass uns das Ganze ja nichts angeht. Leider trifft das nicht zu, denn das Internet kennt keine Landesgrenzen. Wenn man also EU-Bürgern Zugang zu seinen Dienstleistungen und Produkten bietet, muss man sie auch nach EU-Gesetz schützen. Dazu kommt, dass unsere eigene Datenschutzverordnung momentan in der Revision ist und ganz sicher dem EU-Recht angeglichen wird. Wer sich also heute damit beschäftigt, gerät in Zukunft nicht unter Druck.
Wie mache ich meine WordPress-Seite DS-GVO-sicher?
WordPress bietet eine der grössten und besten auswahlen an Plug-Ins und Informationen bezüglich der DS-GVO. Meines Erachtens kann man seine Seite damit relativ schnell und zuverlässig dem neuen EU-Recht anpassen. Zuerst muss man seine Seite aber genau anschauen und festhalten, wo überall Daten gesammelt werden und welche. Das heisst zum Beispiel:
- Setze ich Sharing- und Follow-Buttons von sozialen Medien (Twitter, Facebook, LinkedIn usw.) ein?
- Verwende ich ein Statistiktool wie zum Beispiel Google Analytics oder Jetpack?
- Habe ich Kontaktformulare und wie sammle ich dort die Daten?
- Habe ich einen Blog und erlaube ich dort Abos und Kommentare?
- Biete ich einen Newsletter an?
- Verwende ich Cookies oder das Facebook-Pixel?
um nur ein paar mögliche Fragen zu nennen. Hat man diese Fragen geklärt geht man am besten wie folgt vor:
- Man erstellt eine Datenschutzerklärung. Diese sollte leicht verständlich und klar sein. Darin erklärt man, welche Daten man sammelt und wie sie gespeichert werden. Optimal gibt man die Möglichkeit, zu entscheiden, ob man Cookies und Google Analytics zulassen will oder nicht. Ein Beispiel einer kurzen Datenschutzerklärung findet ihr hier. Man kann das Ganze auf die Spitze treiben. Ein Beispiel findet ihr hier. Die Datenschutzerklärung muss gut ersichtlich und zugänglich auf der Webseite platziert sein (im Footer ist ausreichend).
- Man setzt einen Cookies-Banner, der auf dessen Nutzung hinweist.
- Man setzt einen Hinweis bei den Kontaktformularen und den Kommentarfeldern, dass Daten gespeichert werden.
- Man anonymisiert die IP-Adressen in Google Analytics.
- Man ermöglicht es den Nutzern, ihre Daten jederzeit abzurufen oder die Löschung zu beantragen.
Datenschutzerklärung
Die Datenschutzerklärung kann selber erstellt werden oder über WordPress unter Settings › Privacy:
Alternativ kann man selbstverständlich einen Anwalt engagieren oder den Datenschutzerklärungs-Generator der Deutschen Gesellschaft für Datenschutz verwenden. Der ist allerdings sehr ausführlich und ein wenig «over the top».
Cookie-Banner
Für den Cookie-Banner gibt es viele Plug-Ins. Persönlich verwende ich gerne das WP DSGVO Tool von Shapepress eU. Damit lassen sich beinahe alle nötigen Hinweise für die Webseite erstellen. Ich werde das Tool weiter unten ausführlich vorstellen. Hat man Jetpack installiert, verfügt man auch über ein Cookie-Banner-Widget, das man setzen kann.
Kontaktformulare
Bei Kontaktformularen hat man zwei Möglichkeiten:
- Man sammelt keine Daten und überträgt die Nachricht per Mail.
- Man setzt einen Hinweis auf die Datensammlung und lässt den Nutzer seine Zustimmung geben.
Beispiel:
Das Selbe gilt für die Kommentarfunktion beim Blog. Verwendet man einen Spamfilter wie Akismet, sollte auch darauf hingewiesen werden.Beispiel:
Google Analytics
Es wird empfohlen, dass die Datensammlung über Google Analytics anonymisiert wird. Am einfachsten funktioniert auch das über Plug-Ins. Eines der besten dafür ist Monster Insights. In der kostenpflichtigen Version erledigt es alles, was von der DS-GVO verlangt wird. Alternativ kann man den Nutzern ein Opt-In/Opt-Out anbieten. Das heisst, sie können entscheiden, ob sie getrackt werden oder nicht. Das kann man über das Plug-In WP DSGVO Tool von Shapepress eU bewerkstelligen.
Beispiel:
Daten abfragen oder löschen
Es muss jederzeit die Möglichkeit gegeben sein, seine Daten abzurufen oder sie löschen zu lassen.
Beispiel:
Auch das ist über WP DSGVO Tool von Shapepress eU möglich.
Wichtige Plug-Ins und ihre Anwendung
Das wichtigste Plug-In dürfte das WP DSGVO Tool von Shapepress eU sein. Es wurde extra mit Anwälten entwickelt um die eigene Webseite in Deutschland und Österreich DS-GVO-Konform zu machen. Ich gehe mal stark davon aus, dass es somit auch für den Rest der EU mehr als ausreichend ist.
Wenn das Tool installiert ist, haben wir die Möglichkeit diverse Lizenzen zu kaufen oder die kostenlose Version zu verwenden. In meinem Beispiel habe ich das Tool mit der Blog-Lizenz installiert.

Hier können wir die Nutzerdaten-Anfragen managen und entsprechende Einstellungen machen. Das Formular kann über einen Shortcode in eine Seite eingefügt werden.

Hier können wir die Nutzerdaten-Löschungen managen und entsprechende Einstellungen machen. Das Formular kann über einen Shortcode in eine Seite eingefügt werden.
Das zweite wichtige Plug-In ist Goolge Analytics for WordPress von MonsterInsights. Damit kann man nicht nur einfach Google Analytic in die eigene Webseite einbinden, man kann auch all seine Daten automatisch anonymisieren (was von der DS-GVO verlangt wird). In der kostenpflichtigen Version kann über ein Compliance-Add-On das Ganze mit einem Klick eingerichtet werden. Wenn man den Nutzern die Möglichkeit gibt, Cookies und Google Analytics auszuschalten muss man theoretisch keine Daten anonymisieren. Aber hey: better safe than sorry.
Lasst euch nicht verrückt machen
Die DS-GVO soll vor allem Grosskonzerne in ihre Schranken weisen. Zwar tut sie das in ihrer momentanen Form nicht, sie wird aber auch nicht reihenweise KMUs und private Blogs kaputt machen. Die Verordnung enthält einen Artikel, der besagt, dass die Aktionen verhältnismässig sein müssen. Wenn also eine KMU sich nicht 100% an die Vorgaben hält, wird sie zuerst einmal darauf aufmerksam gemacht und es wird Zeit eingeräumt, um die Mängel zu beheben. Man sollte das Ganze also mit Ruhe und gesundem Menschenverstand angehen.
Bezogen auf die Schweiz haben wir jetzt Zeit, um uns mit der DS-GVO vertraut zu machen und so völlig gelassen auf die Datenschutz-Revision der Schweiz zu warten.
Disclaimer: Dieser Artikel soll helfen, seine Seite DS-GVO-tauglich zu machen. Er erhebt aber keinen Anspruch auf Vollständigkeit. DenzlerMedia übernimmt keine Verantwortung, sollte es trotzdem zu Konflikten mit den Behörden kommen. Jede Firma und Privatperson ist selber dafür verantwortlich, alle nötigen Abklärungen getroffen zu haben.