Home / , / WordPress-Seite DS-GVO-Konform machen

WordPress-Seite DS-GVO-Konform machen

1120 views 5 min , 24 sec read
Download als PDF

Seit dem 25. Mai 2018 ist die Datenschutzgrundverordnung der EU offiziell in kraft. Ihre Umsetzung und Ausarbeitung ist allerdings so komplex, dass sie zu einem enormen Chaos in ganz Europa geführt hat. Der Wahnsinn ging soweit, dass sich ganze Vereine aufgelöst haben und tausende Blogs aus Angst vor Konsequenzen offline gingen. Bevor wir zur DS-GVO und WordPress kommen, ein wenig Hintergrundwissen.

Um was geht es bei der DS-GVO?

Die Verordnung ist so komplex, dass ich nicht ins Detail gehen möchte. Hier das Wichtigste, was man dazu wissen muss:

  • Die Verordnung soll die Nutzer vor Datenkraken à la Facebook und Google schützen.
  • Sie verlangt Transparenz bezüglich den Daten, die durch Webseiten und Social Media erhoben werden.
  • Die Daten müssen jederzeit einsehbar und löschbar sein.
  • (Google) Analytics sollten anonymisiert werden oder es muss die Möglichkeit bestehen, das Sammeln der Daten zu unterbinden.
  • Es können Bussgelder bis zu 20 Mio. Euro ausgesprochen werden. Bussen müssen aber immer Verhältnismässig sein.
  • Die Schweiz ist nicht Teil der EU und verfügt über eine eigene Datenschutzverordnung (die momentan in der Revision ist).
  • Die DS-GVO schütz alle EU-Bürger. Wer in der Schweiz also Geschäfte mit der EU macht oder dessen Inhalt oder Angebot für EU-Bürger zugänglich ist, fällt unter die Verordnung.
  • Vor allem in Deutschland sind Abmahnungen ein riesen Geschäft. Bei einem entsprechenden Brief immer Kritisch bleiben und am besten vom eigenen Anwalt prüfen lassen.

Was ist das Problem der DS-GVO?

Die DS-GVO ist so komplex, dass die kleinen Blogs und Betriebe kaum durchblicken und total verunsichert sind. Die grossen Firmen wie Facebook und Google haben ganze Armeen an Anwälten, die kein Problem haben, die Verordnung zu durchleuchten und alle Schlupflöcher zu finden. Darüber hinaus zwingen Facebook und Google einen einfach dazu, ihre Datensammelwut zu akzeptieren, da man sonst ihre Dienste nicht mehr nutzen kann. Das wäre bei Facebook unter anderem WhatsApp, Instagram, Facebook Messanger und natürlich das soziale Netzwerk selber und bei Google ist es die Suchmaschine, Youtube, Google+, GMail, Docs, Picasa, Google Fonts, JotSpot, Android, reCAPTCHA, Google Analytics, Google AdWords und Waze. Viel Glück im Netz ohne diese Dienste. Dazu kommen die News, die Shops und die Unterhaltung. Die DS-GVO hat also die Grossen kaum berührt und die Kleinen so verunsichert, dass seit dem 25. Mai ein riesen Chaos herrscht. Momentan versuchen sich alle vor dem zu schützen, was eigentlich sie schützen sollte.

Was geht das die Schweiz an?

Als Schweizer wäre es einfach zu sagen, dass uns das Ganze ja nichts angeht. Leider trifft das nicht zu, denn das Internet kennt keine Landesgrenzen. Wenn man also EU-Bürgern Zugang zu seinen Dienstleistungen und Produkten bietet, muss man sie auch nach EU-Gesetz schützen. Dazu kommt, dass unsere eigene Datenschutzverordnung momentan in der Revision ist und ganz sicher dem EU-Recht angeglichen wird. Wer sich also heute damit beschäftigt, gerät in Zukunft nicht unter Druck.

Wie mache ich meine WordPress-Seite DS-GVO-sicher?

WordPress bietet eine der grössten und besten auswahlen an Plug-Ins und Informationen bezüglich der DS-GVO. Meines Erachtens kann man seine Seite damit relativ schnell und zuverlässig dem neuen EU-Recht anpassen. Zuerst muss man seine Seite aber genau anschauen und festhalten, wo überall Daten gesammelt werden und welche. Das heisst zum Beispiel:

  • Setze ich Sharing- und Follow-Buttons von sozialen Medien (Twitter, Facebook, LinkedIn usw.) ein?
  • Verwende ich ein Statistiktool wie zum Beispiel Google Analytics oder Jetpack?
  • Habe ich Kontaktformulare und wie sammle ich dort die Daten?
  • Habe ich einen Blog und erlaube ich dort Abos und Kommentare?
  • Biete ich einen Newsletter an?
  • Verwende ich Cookies oder das Facebook-Pixel?

um nur ein paar mögliche Fragen zu nennen. Hat man diese Fragen geklärt geht man am besten wie folgt vor:

  1. Man erstellt eine Datenschutzerklärung. Diese sollte leicht verständlich und klar sein. Darin erklärt man, welche Daten man sammelt und wie sie gespeichert werden. Optimal gibt man die Möglichkeit, zu entscheiden, ob man Cookies und Google Analytics zulassen will oder nicht. Ein Beispiel einer kurzen Datenschutzerklärung findet ihr hier. Man kann das Ganze auf die Spitze treiben. Ein Beispiel findet ihr hier. Die Datenschutzerklärung muss gut ersichtlich und zugänglich auf der Webseite platziert sein (im Footer ist ausreichend).
  2. Man setzt einen Cookies-Banner, der auf dessen Nutzung hinweist.
  3. Man setzt einen Hinweis bei den Kontaktformularen und den Kommentarfeldern, dass Daten gespeichert werden.
  4. Man anonymisiert die IP-Adressen in Google Analytics.
  5. Man ermöglicht es den Nutzern, ihre Daten jederzeit abzurufen oder die Löschung zu beantragen.

Datenschutzerklärung

Die Datenschutzerklärung kann selber erstellt werden oder über WordPress unter Settings › Privacy:

Alternativ kann man selbstverständlich einen Anwalt engagieren oder den Datenschutzerklärungs-Generator der Deutschen Gesellschaft für Datenschutz verwenden. Der ist allerdings sehr ausführlich und ein wenig «over the top».

Cookie-Banner

Für den Cookie-Banner gibt es viele Plug-Ins. Persönlich verwende ich gerne das WP DSGVO Tool von Shapepress eU. Damit lassen sich beinahe alle nötigen Hinweise für die Webseite erstellen. Ich werde das Tool weiter unten ausführlich vorstellen. Hat man Jetpack installiert, verfügt man auch über ein Cookie-Banner-Widget, das man setzen kann.

Kontaktformulare

Bei Kontaktformularen hat man zwei Möglichkeiten:

  1. Man sammelt keine Daten und überträgt die Nachricht per Mail.
  2. Man setzt einen Hinweis auf die Datensammlung und lässt den Nutzer seine Zustimmung geben.
    Beispiel:

    Das Selbe gilt für die Kommentarfunktion beim Blog. Verwendet man einen Spamfilter wie Akismet, sollte auch darauf hingewiesen werden.Beispiel:

Google Analytics

Es wird empfohlen, dass die Datensammlung über Google Analytics anonymisiert wird. Am einfachsten funktioniert auch das über Plug-Ins. Eines der besten dafür ist Monster Insights. In der kostenpflichtigen Version erledigt es alles, was von der DS-GVO verlangt wird. Alternativ kann man den Nutzern ein Opt-In/Opt-Out anbieten. Das heisst, sie können entscheiden, ob sie getrackt werden oder nicht. Das kann man über das Plug-In WP DSGVO Tool von Shapepress eU bewerkstelligen.

Beispiel:

Daten abfragen oder löschen

Es muss jederzeit die Möglichkeit gegeben sein, seine Daten abzurufen oder sie löschen zu lassen.

Beispiel:

Auch das ist über WP DSGVO Tool von Shapepress eU möglich.

Wichtige Plug-Ins und ihre Anwendung

Das wichtigste Plug-In dürfte das WP DSGVO Tool von Shapepress eU sein. Es wurde extra mit Anwälten entwickelt um die eigene Webseite in Deutschland und Österreich DS-GVO-Konform  zu machen. Ich gehe mal stark davon aus, dass es somit auch für den Rest der EU mehr als ausreichend ist.

Wenn das Tool installiert ist, haben wir die Möglichkeit diverse Lizenzen zu kaufen oder die kostenlose Version zu verwenden. In meinem Beispiel habe ich das Tool mit der Blog-Lizenz installiert.

In dem Bereich geben wir die Admin-Mail an und können DS-GVO-Checkboxen bei Kommentaren setzen.

 

Im unteren Teil geben wir die Kontaktdaten ein, die vom Tool in den Texten verwendet werden sollen.

 

Hier stellen wir die Cookie-Nachrichten ein und die entsprechenden Weiterleitungsseiten.

 

Im unteren Teil können wir gestalterische Angaben machen.

 

Hier sehen wir die Dienste, für die wir Opt-Ins/Opt-Outs definieren können.

 

Hier können wir weitere Dienste hinzufügen.

 

Hier können wir die Nutzerdaten-Anfragen managen und entsprechende Einstellungen machen. Das Formular kann über einen Shortcode in eine Seite eingefügt werden.

 

Hier kann ein Datenauszug manuell ausgelöst werden.

 

Hier können wir die Nutzerdaten-Löschungen managen und entsprechende Einstellungen machen. Das Formular kann über einen Shortcode in eine Seite eingefügt werden.

 

Hier kann man eine Löschung manuell veranlassen.

 

Das Tool hilft einem auch dabei, eine Datenschutzerklärung zu erstellen.

 

Es hilft auch, ein Impressum zu erstellen.

 

Das zweite wichtige Plug-In ist Goolge Analytics for WordPress von MonsterInsights. Damit kann man nicht nur einfach Google Analytic in die eigene Webseite einbinden, man kann auch all seine Daten automatisch anonymisieren (was von der DS-GVO verlangt wird). In der kostenpflichtigen Version kann über ein Compliance-Add-On das Ganze mit einem Klick eingerichtet werden. Wenn man den Nutzern die Möglichkeit gibt, Cookies und Google Analytics auszuschalten muss man theoretisch keine Daten anonymisieren. Aber hey: better safe than sorry.

Lasst euch nicht verrückt machen

Die DS-GVO soll vor allem Grosskonzerne in ihre Schranken weisen. Zwar tut sie das in ihrer momentanen Form nicht, sie wird aber auch nicht reihenweise KMUs und private Blogs kaputt machen. Die Verordnung enthält einen Artikel, der besagt, dass die Aktionen verhältnismässig sein müssen. Wenn also eine KMU sich nicht 100% an die Vorgaben hält, wird sie zuerst einmal darauf aufmerksam gemacht und es wird Zeit eingeräumt, um die Mängel zu beheben. Man sollte das Ganze also mit Ruhe und gesundem Menschenverstand angehen.

Bezogen auf die Schweiz haben wir jetzt Zeit, um uns mit der DS-GVO vertraut zu machen und so völlig gelassen auf die Datenschutz-Revision der Schweiz zu warten.

Disclaimer: Dieser Artikel soll helfen, seine Seite DS-GVO-tauglich zu machen. Er erhebt aber keinen Anspruch auf Vollständigkeit. DenzlerMedia übernimmt keine Verantwortung, sollte es trotzdem zu Konflikten mit den Behörden kommen. Jede Firma und Privatperson ist selber dafür verantwortlich, alle nötigen Abklärungen getroffen zu haben.

About Christian Denzler

Nach einer klassischen Lehre als Polygraf EFZ und einer Weiterbildung zum Techno-Polygrafen EFA sammelte Christian Denzler Erfahrungen in Druckereien, Agenturen und Premedia-Firmen. Typografie, Layout, Technologie sind seine Leidenschaften und nebenbei befasst er sich mit der Optimierung des digitalen Lebens durch Apps und deren Vernetzung sowie Kommunikation. Er ist ein PDF/UA-Profi (barrierefreie PDFs) und zertifizierter PDF/X-Experte. Seit 2015 ist er Prüfungsexperte «grafisch technische Berufe» an der Berufsschule für Gestaltung Zürich. Mit «Multi-Channel-Publishing» befasst er sich seit 2010 auf seiner Webseite denzlermedia.ch.
View all posts by Christian Denzler

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

This Wiki is brought to you by DenzlerMedia.
Visit Website

you're currently offline

Back